99 confirma exposição de dados após denúncias de invasão de contas de motoristas

A 99 confirmou ter sido vítima de um ataque cibernético que atingiu parte de sua base de motoristas no Brasil e resultou no comprometimento de contas e perda de valores acumulados de corridas feitas. De acordo com a empresa, 0,006% da base de parceiros foi atingida pelo incidente, que ainda está sendo investigada, enquanto ela trabalha diretamente com os atingidos para resolver qualquer problema.

• Polícia prende em Curitiba suspeitos de golpe da maquininha do delivery
• Polícia prende grupo brasileiro de phishing que roubou R$ 10 mi de 200 vítimas

As denúncias sobre um possível ataque começaram a surgir entre o final de janeiro e fevereiro deste ano, com um aumento significativo na publicação de vídeos e relatos nas redes sociais sobre contas invadidas de motoristas parceiros da 99. Os relatos variam, mas normalmente envolvem a mudança de e-mails e números de telefone pelos bandidos, que também realizam a transferência para si de eventuais valores acumulados nos perfis pela realização de corridas e entregas.

O primeiro comentário oficial, entretanto, foi feito por Tatiana Scatena, diretora de segurança da 99 Tecnologia. No dia 8 de março, ela foi ouvida na Câmara Municial de São Paulo (SP) durante a CPI dos Aplicativos, que investiga a relação entre motoristas e as empresas do setor de transportes. Quando procurada pelo Canaltech, a companhia também confirmou o incidente.

O pronunciamento enviado à reportagem traz poucos detalhes sobre o que aconteceu, entretanto. A companhia afirmou estar trabalhando ao lado dos motoristas atingidos pela exposição de dados; e que apenas uma pequena parte da base de condutores parceiros foi atingida — na CPI, a representante da 99 chegou a falar em 0,06% dos parceiros, um número que estaria incorreto, com o comprometimento sendo de 0,006%.

As contas comprometidas estão sendo investigadas e normalizadas para que os parceiros possam continuar atuando, em um trabalho que também inclui compensações financeiras quando necessárias.

A reportagem solicitou minúcias sobre o comprometimento de informações, como o teor do conteúdo obtido pelos criminosos e a linha do tempo do incidente, mas a 99 não retornou com esses detalhes. Na CPI, Scatena alegou que essa é uma medida de segurança da investigação, com novos dados podendo ser divulgados após o fim do processo. Confira a íntegra do comunicado:

A 99 informa que está investigando as denúncias sobre as possíveis fraudes a perfis de alguns motoristas parceiros desde a primeira notificação recebida. Esclarecemos que estamos atuando para corrigir quaisquer problemas e que a pequena parcela da base de condutores ativos afetados (0,006% do total) está recebendo o devido acolhimento, com a normalização do cadastro e o recebimento de compensação financeira, onde cabível. O app continua operando em segurança para os demais usuários. As práticas de proteção da informação e privacidade da empresa são certificadas internacionalmente pela ISO 27001 (referente à segurança da informação) e ISO 27701 (atestando nossas práticas em gestão de informações e privacidade). Além disso, seguimos os padrões PCI-DSS, para garantir a segurança sobre as informações relacionadas aos pagamentos com cartões.

Invasão durante corrida pela 99

O motorista I.R., que pediu para ter sua identidade preservada, foi um dos que teve a conta comprometida no final do mês de fevereiro deste ano. Ele trabalha em São Paulo (SP) e afirmou ter visto o incidente “ao vivo”, enquanto transportava um passageiro ao aeroporto de Congonhas, na capital. Ele notou o problema quando o próprio cliente apontou-o, afirmando que a corrida havia sido subitamente finalizada ainda a poucos quilômetros do destino.

O trajeto foi finalizado, mas na sequência, R. disse não ter mais conseguido acesso à conta, com seus dados usuais iniciando um processo de criação de um novo perfil. Em contato presencial com representantes da 99 na capital paulista, descobriu que o e-mail usado e seu número de telefone haviam sido removidos do cadastro pelo invasor.

“Uso [aplicativos de transporte] como uma renda extra, então não tinha dinheiro na conta. Permaneci alguns dias bloqueado, mas, felizmente, o problema não me atingiu tanto quanto outros profissionais que trabalham diretamente”, contou o motorista. R. afirma que sua conta da 99 já está ativa novamente; e que ele tem visto com mais frequência as solicitações de reconhecimento facial, uma das medidas usadas pela empresa para garantir a autenticidade do condutor parceiro ao volante.

Quando perguntada sobre as medidas de segurança disponíveis aos motoristas, como autenticação em duas etapas e demais práticas de proteção, a 99 não respondeu diretamente. A empresa repetiu o pronunciamento sobre certificações e protocolos já presentes na declaração emitida originalmente à CPI. A companhia também não deu mais detalhes sobre o trabalho junto aos condutores parceiros atingidos; nem confirmou quantos podem ter sido impactados pelos incidentes cibernéticos.

Dicas para proteger a conta na 99

A ativação de protocolos de autenticação em duas etapas e demais medidas de segurança que não façam a entrada na conta depender apenas de login e senha é essencial. Quando disponíveis, tais sistemas devem estar sempre ativos, garantindo que, mesmo possuindo as credenciais do usuário, golpistas não conseguirão comprometer um perfil sem um código adicional.

Além disso, é importante usar senhas seguras e complexas, de preferência aleatórias e que não sejam repetidas em mais de um serviço — assim, em caso de comprometimento ou vazamento, apenas aquela conta específica estará em perigo. Sempre que detectar atividade suspeita, é importante trocar a palavra-chave por outra que, novamente, seja única da plataforma.

Aos parceiros atingidos por comprometimento de contas, a 99 pede que entrem em contato imediatamente pelos canais de atendimento. O telefone é o 0300-3132-421, com o contato também podendo ser feito presencialmente, nas Casas99, ou por chamada de vídeo.

Fonte: Câmara de São Paulo (SP)