A invasão foi revelada por Dara Khosrowshahi, atual CEO do Uber. Por que só agora? No comunicado oficial, o executivo diz ter se feito a mesma pergunta, razão pela pediu uma investigação minuciosa e tomou providências assim que descobriu o problema.
Khosrowshahi assumiu o cargo de CEO no final de agosto. É natural, portanto, que ele tenha se inteirado do assunto tardiamente. O ataque ocorreu quando Travis Kalanick era responsável pelo comando da empresa. De acordo com a Bloomberg, o ex-CEO soube do incidente um mês depois da sua ocorrência, época em que o Uber lidava com ações judiciais justamente sobre segurança de dados e violação de privacidade. Na sequência, o Uber trabalhou para evitar que o ataque virasse notícia. O então chefe de segurança Joe Sullivan e outro executivo não identificado teriam repassado aos invasores US$ 100 mil em troca de sigilo e eliminação dos dados capturados. Não é pouca coisa. Informações como nomes, emails e números de telefone de mais de 50 milhões de usuários foram vazados. Dados de 7 milhões de motoristas também foram capturados, 600 mil dos quais atuam nos Estados Unidos. Dados mais críticos, como números de cartões de crédito e de seguro social não teriam sido acessados. Parece razoável pagar o “resgate”, dada a gravidade do incidente. No entanto, várias leis dos Estados Unidos obrigam empresas que sofreram ataques a alertar usuários afetados e autoridades. É o que Khosrowshahi está fazendo agora. Tudo indica que o incidente só foi descoberto por conta das auditorias internas que o executivo promove desde que virou CEO para colocar o Uber nos eixos. Por conta da demora em comunicar o ataque, é possível que a companhia sofra sanções das autoridades norte-americanas, assim como enfrente processos judiciais. De qualquer forma, o Uber anunciou medidas para amenizar as consequências, com destaque para a demissão dos dois executivos que teriam acobertado a invasão. Outras medidas incluem orientações para motoristas que tiveram números de licença acessados, monitoramento e reforço da proteção contra roubo de identidade e a contratação de Matt Olsen, ex-conselheiro de segurança da NSA e diretor do Centro Nacional Antiterrorismo dos Estados Unidos, que deverá guiar a restruturação das equipes e processos de segurança do Uber. De acordo com a empresa, não há evidência de uso indevido de dados de usuários, mas todas as contas atingidas estão sendo monitoradas. Também não há informações sobre contas afetadas no Brasil. Kalanick foi procurado, mas não comentou o assunto.
