Na sua proposta de acordo de consentimento com a Uber em agosto de 2017, a FTC alegou, entre outras coisas, que as práticas de segurança irracionais da empresa resultaram numa violação de dados em maio de 2014. Mas há mais nesta história agora. De acordo com a FTC, a Uber sofreu outra violação no outono de 2016 – bem no meio da investigação não pública da FTC – mas não a divulgou à FTC até novembro de 2017. Para resolver esse problema, a FTC retirou-se da sua versão original. acordo com Uber e anunciou uma nova proposta de acordo. É a história por trás dessa história que sua empresa vai querer conhecer.
Além de uma contagem sobre garantias enganosas que a Uber fez aos consumidores em resposta a relatos de que funcionários estavam acessando informações pessoais dos passageiros, a reclamação da FTC de agosto de 2017 incluía uma segunda contagem relacionada a falhas de segurança no uso de um serviço de armazenamento em nuvem de terceiros pela Uber. Apesar das extensas reivindicações de segurança da empresa, a FTC acusou uma série de decisões e omissões da Uber – quando tomadas em conjunto – resultaram em segurança irracional para os dados pessoais armazenados pela Uber nesse serviço.
Entre os lapsos contestados pela FTC, um revelou-se particularmente prejudicial: a política da Uber de permitir que o seu pessoal utilizasse uma única chave de acesso que fornecia privilégios totais de administração sobre os dados sensíveis que a Uber armazenava em texto claro e não encriptado nesse serviço de nuvem. Por que essa decisão foi tão fatídica? Porque quando um engenheiro da Uber publicou publicamente uma chave de acesso no GitHub, um site de compartilhamento de código popular entre desenvolvedores de software, um invasor usou esse passe de acesso total aos bastidores para obter dados pessoais de mais de 100 mil pessoas.
Essa violação de maio de 2014 foi citada na ação original da FTC contra a Uber. No entanto, a Uber sofreu outra violação no outono de 2016, também decorrente de escolhas negligentes de segurança que a Uber fez no uso do serviço de armazenamento em nuvem de terceiros. Mais uma vez, os invasores usaram uma chave de acesso que um engenheiro da Uber postou no GitHub. Desta vez, a chave foi postada em um repositório privado do GitHub. No entanto, a Uber permitiu que seus engenheiros acessassem os repositórios GitHub da empresa por meio de contas individuais de engenheiros, que geralmente estavam vinculadas a endereços de e-mail pessoais. A Uber não proibiu seus engenheiros de reutilizar credenciais e não exigiu que eles habilitassem a autenticação multifator ao acessar os repositórios GitHub da empresa. Os invasores disseram que obtiveram acesso usando senhas expostas em outras violações de big data. No período de um mês, os invasores usaram essa chave de acesso de texto simples para baixar 25,6 milhões de nomes e endereços de e-mail, 22,1 milhões de nomes e números de telefones celulares e 607 mil nomes e números de carteiras de motorista de passageiros e motoristas do Uber nos EUA.
A Uber soube da violação em 14 de novembro de 2016, quando um invasor contatou a empresa, exigindo um pagamento de seis dígitos. A Uber pagou US$ 100 mil por meio de terceiros que administram o programa de “recompensas por bugs” da Uber. Muitas empresas têm programas de recompensa por bugs que oferecem recompensas pela divulgação responsável de vulnerabilidades graves de segurança. Mas, ao contrário de uma recompensa legítima por bugs, este foi um pagamento da Uber aos mesmos atacantes que exploraram maliciosamente a vulnerabilidade para roubar informações pessoais sobre milhões de pessoas.
A Uber não divulgou a violação aos consumidores afetados até 21 de novembro de 2017, mais de um ano depois que a empresa tomou conhecimento do assunto. Além disso, a violação do outono de 2016 ocorreu enquanto a Uber estava em discussões com a FTC sobre a sua investigação da violação de maio de 2014, que também estava relacionada com as práticas da empresa para proteger os dados dos consumidores armazenados no serviço de nuvem de terceiros. Apesar da pendência dessa investigação, a Uber não informou a FTC sobre a segunda violação até novembro de 2017.
Qual é o resultado desta revelação? Quando a FTC anuncia um acordo administrativo, o acordo de consentimento proposto é registrado por 30 dias para comentários públicos. Depois de considerar os comentários, a FTC aceita o pedido como final ou não. Neste caso, a FTC retirou a sua proposta de acordo com a Uber e está a celebrar um novo acordo que também ficará registado durante 30 dias para comentários públicos, a partir de hoje até 14 de maio de 2018. A FTC decidirá então se deve retirar-se. do novo acordo ou aceitá-lo como definitivo.
O que há de diferente na nova reclamação e ordem propostas? A reclamação inclui uma seção adicional que descreve as alegações relacionadas à violação de dados no outono de 2016. A ordem proposta apresenta uma série de disposições adicionais destinadas a resolver o que aconteceu neste caso e proteger os consumidores no futuro. Você vai querer ler o pedido para obter detalhes, mas aqui estão algumas maneiras de torná-lo notavelmente mais amplo.
A ordem proposta em agosto de 2017 exigiria que a Uber implementasse um programa abrangente de privacidade. A nova ordem exige que o programa também aborde: 1) design, desenvolvimento e testes seguros de software, incluindo gerenciamento de chaves de acesso e armazenamento seguro em nuvem; 2) como a Uber analisa e responde a relatórios de vulnerabilidades de segurança de terceiros, incluindo seu programa de recompensas por bugs; e 3) prevenção, detecção e resposta a ataques, invasões ou falhas de sistemas. De acordo com uma nova disposição, a Uber terá de apresentar um relatório à FTC sobre qualquer episódio em que a empresa tenha de notificar qualquer entidade governamental federal, estadual ou local dos EUA sobre o acesso não autorizado às informações de qualquer consumidor. E as disposições sobre relatórios e manutenção de registos foram alargadas para acompanhar mais de perto o que a Uber está a fazer, incluindo o funcionamento do seu programa de recompensas por bugs e as comunicações com outras autoridades.
