O caso Uber: crónica de um duplo hacking

Se há algo que a história recente da tecnologia nos ensina é que, por muito gigante que sejas, tens os pés de barro se descuidares a tua cibersegurança. Hoje vamos rever uma história de "terror" corporativo em dois atos protagonizada pela Uber. Uma crónica que vai desde o encobrimento de uma brecha massiva em 2016 (revelada em 2017) até um ataque de engenharia social de manual em 2022. Prepara as pipocas, porque isto demonstra que o homem (e a empresa) é o único animal que tropeça duas vezes na mesma pedra digital.

Ato 1: O encubrimento de 2016-2017

Tudo começou em outubro de 2016, embora o mundo não tenha tido conhecimento até um ano depois. A Uber sofreu uma fuga de informação colossal. O saldo? 57 milhões de utilizadores afetados em todo o mundo.

Os cibercriminosos apoderaram-se de um espólio de dados que incluía nomes, e-mails e números de telefone de 57 milhões de viajantes, para além dos dados de 7 milhões de condutores (incluindo 600.000 números de carta de condução nos EUA). Embora a empresa tenha assegurado que não foram roubados cartões de crédito nem números da segurança social, o golpe foi tremendo.

Mas o verdadeiramente escandaloso não foi o hacking em si, mas a gestão do incidente. Em vez de avisar as autoridades e os afetados (como dita a lei e o bom senso), a administração da época decidiu meter o lixo debaixo do tapete. Segundo relatam fontes oficiais como o INCIBE, a Uber optou por pagar 100.000 dólares aos hackers para que apagassem a informação e mantivessem a boca fechada. Um "pagamento pelo silêncio" que tentaram disfarçar como uma recompensa por descobrir vulnerabilidades.

O esquema foi descoberto em novembro de 2017, quando o novo presidente executivo, Dara Khosrowshahi, teve de vir a público pedir desculpa e admitir que "nada disto devia ter acontecido". O resultado: multas milionárias de reguladores europeus, despedimentos de quadros diretivos e uma reputação feita em pedaços por tentar ocultar a verdade.

Ato 2: 2022 e a "fadiga" de um funcionário

Poderíamos pensar que, após o escândalo de 2017, a Uber se tornaria uma fortaleza inexpugnável. No entanto, em setembro de 2022, a história repetiu-se, mas com um guião diferente e um protagonista inesperado: um jovem de 18 anos.

Desta vez não foi necessário um código ultra sofisticado para quebrar as muralhas. O atacante utilizou uma técnica conhecida como "fadiga de MFA" (Autenticação de Múltiplos Fatores). O hacker, após comprar credenciais de um funcionário na dark web, bombardeou o trabalhador com pedidos de acesso no seu telemóvel durante uma hora. Imagina o teu telefone a vibrar sem parar, pedindo-te para aprovares um início de sessão.

Para rematar a jogada, o atacante contactou o funcionário através do WhatsApp fazendo-se passar pela equipa de suporte de TI da Uber, pedindo-lhe que aceitasse a notificação para que o "ruído" parasse. O funcionário, farto e confuso, aceitou. E assim, abriu-lhe a porta de par em par.

Uma vez lá dentro, o dano foi total. O hacker encontrou um script de PowerShell que continha, por erro, credenciais de administrador codificadas. Com essas chaves mestras acedeu à infraestrutura crítica: Amazon Web Services, Google Cloud, os repositórios de código e até às ferramentas de segurança.

O momento alto do surrealismo chegou quando o hacker publicou no canal de Slack de toda a empresa: "Anuncio que sou um hacker e que a Uber sofreu uma violação de dados". A reação dos funcionários? Pensaram que era uma piada e responderam com emojis de riso, sem saberem que o ataque era real.

A lição que não devemos esquecer

O caso da Uber deixa-nos aprendizagens valiosas que nenhuma empresa, grande ou pequena, pode ignorar.

Em primeiro lugar, a tecnologia falha se o fator humano falhar.

Em 2022, um simples "sim" numa notificação de telemóvel derrubou toda a segurança de uma multinacional. Isto sublinha que as empresas devem proteger os seus funcionários de forma contínua através de formação e consciencialização.

Educar a equipa para não confiar cegamente e reconhecer táticas de engenharia social é tão importante como ter o melhor antivírus.

Além disso, é vital contar com sistemas permanentemente atualizados e políticas de "Confiança Zero" (Zero Trust), onde não se confia em nenhum dispositivo ou utilizador até que seja verificado exaustivamente, mesmo que já esteja dentro da rede.

Finalmente, este duplo incidente recorda-nos a importância de ter fornecedores de ciberproteção de confiança e próximos.

Não basta colocar um remendo quando ocorre o desastre; são necessárias soluções proativas e um acompanhamento especializado que entenda que a cibersegurança é um processo vivo.

Porque, como vimos com a Uber, tentar ocultar um problema ou subestimar uma notificação pode sair muito, muito caro.

Como a Gigas pode ajudar a proteger-se

A Gigas, como fornecedor de serviços cloud e de cibersegurança, oferece soluções avançadas concebidas para proteger tanto empresas como utilizadores individuais. Com uma infraestrutura na nuvem segura, firewalls avançadas e sistemas de monitorização, a Gigas ajuda a proteger os seus dados e sistemas contra as ameaças de malware.

Descubra os nossos sistemas mais avançados de cibersegurança para empresas aqui!