Os procuradores dos Estados do Nova York, Eric Schneiderman, e do Connecticut, George Jepsen, abriram um inquérito nesta quarta-feira, 22, um processo contra a Uber, após a notícia do vazamento de dados de 57 milhões de usuários e motoristas.
Parlamentares dos EUA pediram audiências no Congresso e que a Comissão Federal de Comércio (FTC) analise a questão. Outros países também pretendem abrir investigações sobre o vazamento, como a Grã Bretanha, Austrália e Filipinas.
O Uber informou que está em contato com a FTC e vários países para discutir o ataque que aconteceu no ano passado, e que só agora veio a público.
"Fizemos contato com vários procuradores-gerais e com a FTC para discutir esta questão, e estamos prontos para cooperar com eles no futuro", disse um porta-voz do Uber por e-mail.
As informações roubadas incluíam nomes, endereços de email e números de telefone de 57 milhões de usuários do Uber, e nomes e números de licenças de 600 mil motoristas dos EUA, segundo um post do novo executivo-chefe do Uber, Dara Khosrowshahi, que substituiu o cofundador Travis Kalanick em agosto.
Na opinião de John Gunn, chief marketing officer da Vasco Data Security, "o vazamento de dados do Uber é alarmante não somente por sua magnitude, mas principalmente pelo esforço intensivo que a empresa parece ter feito no sentido de esconder o roubo, violando a confiança de seus clientes e provavelmente as leis que exigem transparência nesses casos".
Na análise do executivo, os consumidores demonstraram uma expressiva tendência de perdoar empresas vítimas de criminosos cibernéticos tais como Home Depot e Target, mas lembrou que essas organizações mostraram sua preocupação com o bem-estar de seus clientes. "Agora teremos a oportunidade de ver se a resposta dos consumidores será diferente em relação a uma empresa que optou por outro caminho e que tem sido acusada múltiplas vezes de mau comportamento".
Para Chester Wisniewski, da Sophos "a violação de Uber demonstra mais uma vez que os desenvolvedores precisam levar a sério a segurança e nunca incorporar ou implantar tokens de acesso e chaves nos repositórios de código fonte. Eu diria que parece ter assistido a esse filme antes, mas geralmente as organizações não são pegas, enquanto estão ativamente envolvidas em um encobrimento. Colocando o drama de lado e os impactos potenciais da próxima execução do GDPR, esta é apenas outra equipe de desenvolvimento com práticas de segurança precárias que compartilhou credenciais. Infelizmente, isso é comum em ambientes de desenvolvimento ágil ".
"Uber não é o único e não será a última empresa a esconder uma violação de dados ou um ataque cibernético. Não notificar os consumidores coloca-os em maior risco de serem vítimas de fraude. É precisamente por essa razão que muitos países estão dirigindo a regulamentos com divulgação de violação obrigatória", enfatiza o conselheiro de segurança cibernética da Sophos, James Lyne.