FYI.

This story is over 5 years old.

Tecnologia

Contas Roubadas do Uber Estão Sendo Vendidas Na Deep Web Por 1 Dólar

Parece que dados reais do Uber estão sendo vendidos, mas não está muito claro de onde veio tudo isso.
​Crédito: Andrew Caballero/Reynolds/AFP/Getty Images

O Motherboard confirmou que contas ativas do Uber estão à venda no mercado negro da internet por um mísero dólar.

Um vendedor afirma que ele tem "milhares" de logins de usuários para vender.

Um nome de usuário e uma senha é tudo que você precisa para acessar o histórico de viagem de usuário, que pode incluir detalhes pessoais como o endereço de casa. Enquanto as informações completas de cartão de crédito não são expostas, os últimos quatro dígitos e data de expiração do cartão do usuário são visíveis na conta do usuário.

Publicidade

Em um mercado AlphaBay, um site recém lançado deda dark web, o vendedor Courvoisier tem uma lista para "x1 CONTA UBER – TÁXI NO MUNDO TODO!" pela grande soma de um dólar, qualquer um pode comprar anonimamente um nome de usuário e senha do Uber.

Outro vendedor, ThinkingForward, tem uma oferta similar, mas por cinco dólares. "Eu vou garantir que elas estão válidas. Descontos em compras em atacado", escreve ThinkingForward em sua lista de produto.

"É terrível que essa informação esteja por aí. [É] uma brecha imensa de privacidade"

De acordo com Courvoisier, uma vez que você comprou o login, é um passo simples para pedir um táxi.

"Faça login no site móvel do Uber no seu celular e marque um táxi :)" ele ou ela me diz em uma mensagem privada.

Um representando do Uber disse que a empresa não encontrou evidência da brecha.

O Motherboard recebeu uma amostra de nomes e senhas disponível e verificou pelo menos que algumas contas estavam ativas contatando esses usuários. Os dados incluem nomes, nomes de usuário, dado parcial de cartão de crédito, e número de telefone de clientes do Uber.

O Motherboard contatou um dos usuários cujo endereço de email e senha foi colocado à venda: James Allan, diretor de venda da OISG, uma empresa de soluções em tecnologia.

Allan confirmou que o nome de usuário e senha que o Motherboard viu estavam corretos, assim como a data de validade do seu cartão de crédito pessoa. Ele não usa mais o Uber, e a última viagem que ele agendou foi em dezembro de 2013.

Publicidade

"Que inferno", disse Allan no telefone, quando ele ouviu sua senha.

Ele ficou "extremamente surpreso" com a revelação, ele disse. Allan também falou que ele não usa muito a internet para transações financeiras, preferindo dinheiro "exatamente por essa razão".

Não está claro de onde os dados vieram ou o tamanho da escala da brecha

"Ou alguém do Uber passou esses dados por grana, ou eles têm uma segurança bem ruim", disse Allan. "Procedimentos criminais têm que ser processados, eu esperaria. Isso é o que eu espero que aconteça".

O segundo dono de conta, que não quis ter seu nome revelado, ficou igualmente chocado.

"É terrível que essa informação esteja por aí. [É] uma brecha imensa de privacidade", ele disse.

Uma terceira pessoa, cujas informações de login parecem ser válidas, não respondeu imediatamente nossas ligações ou emails.

Não está claro de onde vieram os dados ou o tamanho da escala da brecha. Esses logins podem indicar que a segurança do Uber foi invadida ou comprometida de alguma forma, apesar da empresa dizer que não encontrou evidências de uma brecha. Também pode ser que esses usuários foram invadidos individualmente por outros meios, e que as credenciais do Uber foram coletadas e postas à venda. O Motherboard não receber uma resposta do Uber para continuar pedindo esclarecimentos.

Quando o Motherboard perguntou a Courvoisier de onde vieram as contas que ele estava vendendo, ele responder, simplesmente, "contas hackeadas, amigo".

Publicidade

"Tenho milhares :)", ele acrescentou.

Em uma declaração, um representante do Uber disse:

"Investigamos e não encontramos evidência de uma brecha. A tentativa de acesso fraudulento ou venda de contas é ilegal e já notificamos as autoridades sobre esse caso. Essa é uma boa oportunidade para lembrar as pessoas a usar nomes de usuário e senhas únicas e fortes e evitar reutilizar as mesmas credenciais em vários sites e serviços."

Vale a pena lembrar que a venda desses dados pode ter consequências além de qualquer conta única do Uber. Se um indivíduo usa o mesmo email e senha para inscrever-se em outros serviços – eBay, por exemplo – então digitando esses detalhes nesses diferentes sites pode também permitir fácil acesso.

De fato, foi isso que Allan fez. "Eu usava a mesma senha apenas para a Amazon, assim como mencionei que não confio no uso de detalhes financeiros na internet", ele disse em um novo email.

ThinkingForward vendeu apenas algumas contas na hora que escrevemos. O único feedback deixado por um cliente até então dizia "rápido e profissional, valeu cara".

Courvoisier, enquanto isso, vendeu aparentemente mais de 100 nomes de usuário do Uber e senhas, e recebeu muitas respostas positivas.

"Funciona perfeitamente", foi o comentário deixado por um cliente, "entrega rápida", foi o de outro.

Essa não é a primeira vez que o Uber tem dados vazados de alguma forma. Quase 50 mil de seus motoristas podem ter tido dados pessoais expostos. O Uber disse que em setembro de 2014, um dos bancos de dados da empresa "pode ter sido potencialmente acessado por um terceiro", de acordo com o Slate, e o Uber disse que apenas os nomes dos motoristas e suas placas de licença podem ter sido acessadas nessa brecha. A reviravolta é que o Uber supostamente deixou a chave para a base de dados em uma página pública e acessível no Github.

Em um outro incidente, o Uber acidentalmente deixou parte de suas perdas internas e achados de dados – que incluíam nomes de motoristas e clientes e alguns números – públicos na internet aberta.

Na internet, é possível achar todo tipo de bens digitais: números de cartão de crédito, contas PayPal, e agora logins de Uber, tudo por poucos dólares. Esse item é justamente o último em uma longa história de compras de dados roubados com o clique de um mouse.