A Uber virou notícia recentemente por ter assumido que firmou um acordo de não acusação com promotores federais nos EUA como forma de acobertamento de uma violação de dados sofrida pela empresa em 2016 que envolveu o vazamento de 57 milhões de dados.
No anúncio feito pela procuradora dos Estados Unidos Stephanie M. Hinds e o Federal Bureau do Agente Especial de Investigação Encarregado Sean Ragan, foi dito que, no acordo realizado, a Uber admitiu a falha e a responsabilidade dos atos dos seus executivos, funcionários e agentes ao ocultar a violação de dados da FTC (Federal Trade Commission).
O ocorrido envolveu hackers roubando credenciais legítimas como forma de ter acesso ao repositório de código-fonte privado da Uber roubando assim informações sobre vários motoristas e passageiros que resultaram no vazamento de 57 milhões de usuários além de 600.000 números de carteiras de motorista.
Violação foi informada quase 1 anos após o incidente
Em 2016 quando aconteceu a invasão, a FTC já estava com uma investigação em andamento sobre as práticas de segurança da empresa – investigação essa que foi de 2015 a 2017 -, tendo inclusive a FTC solicitado, através de perguntas escritas, informações sobre qualquer acesso não autorizado a informações pessoais de terceiros.
A violação não foi registrada pela Uber até quase 1 ano após ter ocorrido, quando a empresa já estava sendo gerenciada por outra liderança.
A liderança nova, quando soube do ocorrido, investigou a violação e divulgou aos motoristas afetados, ao público, às autoridades policiais e aos reguladores, incluindo procuradores gerais do estado e também a FTC.
Acordo levou em consideração postura de nova liderança da Uber
No novo acordo apresentado recentemente vários fatores foram levados em consideração, como:
- A mudança na gestão da empresa e o fato de que, ao saber do incidente, a nova gestão imediatamente começou a investigar, divulgou ao público e informou às autoridades competentes;
- A empresa tem investido recursos consideráveis na reestruturação e aprimoramento de seus sistemas de modo a priorizar a adequação à leis que regulam o tratamento de dados;
- Além disso, em outubro de 2018, após divulgar a violação de dados de 2016, a Uber estabeleceu um acordo com a FTC, onde a empresa concordou em manter um programa de privacidade por 20 anos relatando à FTC todo e qualquer eventual incidente;
- O novo acordo demonstra o compromisso da Uber em ter total cooperação com a investigação do governo relacionado a esse tema, incluindo sobre o processo criminal que está correndo contra o ex-diretor de segurança da Uber, Joe Sullivan, por sua tentativa de encobrir o incidente de 2016 ao disfarçar um pagamento de extorsão aos hackers como uma recompensa por bugs.
Na ocasião, Sullivan foi acusado de ter pagado a dois hackers “US$ 100.000 em dinheiro secreto” para encobrir a violação, tendo sido acusado por um grande júri federal por obstrução da justiça ao ocultar um crime e três acusações de fraude eletrônica.
- Por último, é importante analisar que a Uber resolveu litígios com procuradores gerais de 50 estados e do Distrito de Columbia relacionados à violação de dados, pagando US$ 148 milhões, além de ter concordado em implementar um programa que priorize a segurança de dados.
O novo CEO “reescreveu os valores da empresa, reformulou a equipe de liderança, tornou a segurança uma prioridade da empresa, implementou a melhor governança corporativa, contratou um presidente do conselho independente e instalou os rigorosos controles e conformidade necessários para operar como uma empresa pública”, disse Jill Hazelbaker , vice-presidente sênior de marketing e relações públicas, em um post no blog.
Jill também disse:“Quando dizemos que a Uber é uma empresa diferente hoje, queremos dizer literalmente: 90% dos atuais funcionários da Uber entraram depois que Dara se tornou CEO”.
O caso segue sendo processado pela Seção de Fraude Corporativa e de Valores Mobiliários da Procuradoria dos EUA e investigado pelo FBI.
