Nessa semana vários jornais informaram a possível ocorrência de um incidente de segurança (violação) envolvendo a empresa de mobilidade urbana Uber. Após confirmação da empresa e com o surgimento de novos detalhes veio a tona a causa do incidente: um colaborador que forneceu suas credenciais de acesso ao hacker.

Por meio do Slack (programa de mensagens projetado especificamente para o ambiente corporativo) e aplicando técnicas de engenharia social o hacker enviou uma mensagem de texto a um trabalhador Uber, alegando ser uma pessoa de tecnologia da informação da empresa e solicitando a senha pessoal de acesso, o que lhe foi enviado.

Uma vez com acesso a um dos sistemas da Uber e explorando outras vulnerabilidades o hacker invadiu e comprometeu outros sistemas da organização, que segundo informações do jornal The New York Times, poderiam corresponder a total acesso a e-mails, ferramentas, bancos de dados e ao código fonte da empresa.

Esses tipos de ataques envolvendo engenharia social estão aumentando consideravelmente e os alvos não são apenas as grandes empresas como a Uber. Há poucos dias escrevi um artigo intitulado "Como um programa de proteção de dados auxilia uma organização a evitar que seus clientes caiam em golpes?", que pode ser acessado nesse link e trata sobre a aplicação de golpes envolvendo engenharia social e dados pessoais de pacientes de hospitais.

Após o ataque a organização teve de paralisar algumas de suas operações e segundo um e-mail interno que foi visto pelo The New York Times, um executivo da Uber disse aos funcionários que o hack estava sob investigação. "Não temos uma estimativa agora sobre quando o acesso total às ferramentas será restaurado, portanto, obrigado por se relacionar conosco", escreveu Latha Maripuri, diretor de segurança da informação de Uber.

Muito mais do que o comprometimento das operações internas, a empresa que já foi alvo de um ataque hacker que resultou no roubo de informações de 57 milhões de contas de motoristas e a exigência de 100.000 dólares como pagamento no ano de 2016, além de um processo judicial pela ocultação do incidente, a Uber ainda sofrerá com o abalo de sua reputação perante o mercado mundial, devido a esse novo incidente.

Mas o que poderia ter evitado esses acontecimentos? Não se pode dizer ao certo, tendo em vista que o fator essencial do acesso indevido foi o fornecimento da credencial pelo colaborador da organização. No entanto, com toda certeza um programa de treinamento recorrente e efetivo, aplicando de maneira dinâmica instruções práticas aos colaboradores sobre as técnicas empregadas por hackers, seria capaz de diminuir consideravelmente o risco da organização sofrer com esse tipo de incidente.

Portanto, uma organização precisa ter regras e processos internos muito bem divulgados, passados na integração de novos colaboradores, mas frequentemente relembrados em programas de treinamento e comunicação corporativa. Somente assim a empresa pode reduzir o risco de passar por situações como a da Uber e caso ocorra, investigar e responsabilizar os eventuais culpados.

Mayara Pastor, especialista em Lei Geral de Proteção de Dados (ESMAFE-PR), Lead Implementer da Gestão da Privacidade da Informação (Baseado na ABNT NBR ISO/IEC 27701), Membro do Comitê Brasileiro de Segurança da Informação, Segurança Cibernética e Proteção da Privacidade (ABNT), Sócia e Coordenadora de Projetos da Égide Pro - Proteção de Dados e Compliance.