Em outubro de 2016, o Uber Technologies sofreu um ciberataque resultando no vazamento de dados sensíveis de mais 57 milhões de usuários ao redor do mundo. O fato é que o caso somente veio agora à tona após a empresa ter assumido que pagou cerca de US$ 100 mil aos cibercriminosos para acobertar o incidente.
Segundo a agência de notícias Reuters, dois hackers teriam tido acesso a informações armazenadas no GitHub, serviço onde engenheiros colaboram com códigos de software. Eles roubaram credenciais para um provedor de nuvem, permitindo baixar dados de motoristas e passageiros.
“Não houve nada de novo no ciberataque. Desenvolvimento colaborativo de software é algo que já existe há anos (vide Linux) e basta uma área específica de segurança definir aquilo o que se deve ou não armazenar em nuvem, qual nuvem e o tipo de contrato de segurança e SLA com o provedor”, destaca Eduardo Maffessoni, engenheiro e consultor da Arbor Networks.
Empresas que não possuem uma área de segurança com políticas definidas tendem a sofrer com demasiada exposição, tanto de códigos de software quanto de falta de cautela dos empregados com as informações da empresa.
“As empresas precisam adotar diversas camadas de proteção para lidar com o avanço dos golpes cibernéticos. Em primeiro lugar, é preciso garantir a eficiência na gestão de TI. Isso significa a construção de uma política de segurança adequada às necessidades de cada empresa e rigor para garantir que estas regras são respeitadas. Uma boa política permite identificar com base em dados qualquer atividade suspeita e habilita agilidade na resposta aos incidentes de segurança, quando ocorrem”, enfatiza Marcel Mathias, Network Security Software Manager da BLOCKBIT.
“A violação de Uber demonstra mais uma vez que os desenvolvedores precisam levar a sério a segurança e nunca incorporar ou implantar tokens de acesso e chaves nos repositórios de código-fonte”, acrescentou o pesquisador principal da Sophos, Chester Wisniewski. Para ele, esta é apenas uma equipe de desenvolvimento com práticas de segurança precárias que compartilhou credenciais e, infelizmente, é comum em ambientes de desenvolvimento ágil.
Visibilidade
Na visão do especialista da Arbor, a falta de visibilidade de tráfego de rede auxilia as campanhas de roubo de dados, pois eles se fazem passar por um tráfego válido quando, na verdade, são agentes maliciosos navegando pelos servidores e hosts.
“Qualquer malware ou ferramenta criada pode navegar na rede e ganhar privilégios, seja sua origem a nuvem, máquinas de colaboradores ou parceiros. Uma VPN, uma rede qualquer, Wi-Fi – todo tipo de acesso pode ser utilizado para que o malware chegue à máquina que possui a informação desejada”, explica Maffessoni.
Por essa razão, o consultor afirma que a visibilidade, o monitoramento da rede, o controle de acessos e uma equipe treinada e capacitada para lidar e entender o tráfego são fatores que ajudam a minimizar problemas relacionados a roubo e sequestro de informação digital.
Sobre o ocultamento do caso
Uma das principais novidades nesse caso foi o atual CEO, Dara Khosrowshahi, revelar que a administração anterior do Uber – o CEO Travis Kalanick – decidiu pagar US$ 100 mil dólares aos hackers que invadiram o sistema solicitando que a invasão ficasse em sigilo e que os dados fossem apagados.
“Não há garantias que os hackers façam o combinado. Além disso, essa decisão fere a honestidade e afeta a confiança do consumidor”, opina Maffessoni. O novo CEO decidiu vir a público e expor o fato para mostrar a nova forma transparente de comunicação do Uber.
O Uber não é o único e não será a última empresa a esconder uma violação de dados ou um ataque cibernético. “Não notificar os consumidores coloca-os em maior risco de serem vítimas de fraude. É por essa razão que muitos países estão dirigindo a regulamentos com divulgação de violação obrigatória”, acrescentou o Conselheiro de Segurança Cibernética da Sophos, James Lyne.
O acobertamento do incidente resultou na demissão de dois funcionários responsáveis pela reação à invasão.
Dicas
A partir das informações disponíveis sobre o episódio, Marcel Mathias, Network Security Software Manager da BLOCKBIT, reforça algumas recomendações já frequentes, mas que fazem diferença à segurança de dados:
– Gerenciar o privilégio dos usuários em seu ecossistema é fundamental. Quando caem em mãos erradas, credenciais privilegiadas são um risco imenso para qualquer empresa. Um usuário privilegiado pode ter acesso a propriedade intelectual, dados de negócios e de clientes etc., que são informações estratégicas. É importante avaliar quantos e quais são os usuários que podem ter privilégios a estes tipos de informações.
– Segurança de credenciais. Se elas dão acesso a diretórios com informações relevantes, é necessário proteger não apenas o diretório, mas garantir regras de autenticação complexas, como mais fatores de autenticação, restringir o acesso apenas em perímetro monitorado pela empresa etc. Caso os dados sejam armazenados em nuvem, é preciso garantir que o provedor oferece segurança. Mas em certos casos, o perímetro seguro da empresa deve ser privilegiado para proteger informações estratégicas.
Segundo Mathias, é importante também adotar uma solução de gerenciamento de vulnerabilidades e conformidades, que permite prever quais são as brechas em seu ambiente, além de analisar contextualmente que tipo de comportamento é suspeito, mesmo no caso de uma ameaça desconhecida ou uma intrusão no sistema.
Outro aspecto importante, que o caso do Uber mostra, é a necessidade de assegurar a conformidade com a política de segurança interna e com a regulação de diferentes países. “Existe tecnologia para atender a essa crescente demanda que é o compliance. Por exemplo, o Uber que é uma empresa global, e na medida que guarda dados de cidadãos europeus está sujeita e pode responder nos termos da recente Regulamentação Geral de Proteção de Dados da União Europeia, que trata da privacidade de dados de usuários”, destaca o especialista da Blockbit.
“A melhor maneira de evitar tudo isso é se proteger. Colocar alertas em sistemas críticos, assim cada vez que alguém entrar no sistema ou repositório, alertas são gerados (SMS por exemplo ). Utilização de duplo fator de autenticação, o que teria impedido o acesso aos repositórios. Importante lembrar que em diversos países a legislação obriga as empresas a comunicar um vazamento, e isso não existe no Brasil, deixando uma brecha muito grande entre o que realmente ocorre e o que é comunicado”, finaliza Fernando Amatte, gerente de Cibersegurança da CIPHER.
