A Uber estaria mais uma vez envolvida em um caso de vazamento de dados, segundo informações que começaram a circular nesta tarde (13). Desta vez, a companhia teria sofrido uma nova violação de dados após o vazamento de e-mail de funcionários, relatórios corporativos e informações de ativos de TI roubados de um fornecedor terceirizado em um incidente de Segurança, a organização em questão é a Teqtivity, responsável por gerenciar e rastrear ativos de TI, como telefones e computadores.
Em posicionamento enviado à Security Report, a Uber acredita que os arquivos mencionados anteriormente estão relacionados a um incidente envolvendo um fornecedor terceirizado e, não ao episódio ocorrido em setembro. Esse caso mencionado ocorreu na rede de computadores e na época, a Uber afirmou que entrou em contato com as autoridades competentes. Além disso, colocou vários sistemas internos de comunicação e engenharia em modo offline.
Em relação vazamento envolvendo a Teqtivity, a Uber esclarece que a companhia não coleta ou armazena dados sensíveis, “portanto os dados não incluem, informações pessoais confidenciais, como detalhes de contas bancárias ou documentos de identificação do governo, nem informações de usuários ou motoristas parceiros”, explica a assessoria.
Já a Teqtivity, em nota divulgada nesta segunda-feira (12), admitiu estar ciente que informações de clientes foram comprometidos devido ao acesso não autorizado aos sistemas por um terceiro mal-intencionado. “O terceiro conseguiu obter acesso ao nosso servidor de backup Teqtivity AWS que hospedava o código e arquivos de dados relacionados aos clientes Teqtivity”, diz o comunicado.
Ainda de acordo com a Teqtivity, uma empresa forense terceirizada foi contratada para investigar todos os logs e a configuração do servidor. Além de uma equipe de segurança para iniciar um teste de penetração da infraestrutura. As autoridades policiais foram notificadas sobre o caso e os clientes afetados informados.
A Security Report disponibiliza o comunicado da Uber na íntegra:
“Acreditamos que esses arquivos estão relacionados a um incidente em um fornecedor terceirizado e não estão relacionados ao episódio de segurança de setembro. Esse fornecedor ajuda a gerenciar e rastrear ativos de TI, como telefones e computadores. Ele não coleta ou armazena, portanto os dados não incluem, informações pessoais confidenciais, como detalhes de contas bancárias ou documentos de identificação do governo, nem informações de usuários ou motoristas parceiros. O post com mais informações sobre o incidente pode ser acessado no blog deles aqui. Continuamos a investigar este assunto.”