A Uber firmou um acordo de não acusação (Non-Prosecution Agreement ou NPA) com promotores federais dos EUA para resolver uma investigação criminal sobre o acobertamento de uma significativa violação de dados sofrida pela empresa em 2016. O anúncio foi feito pela procuradoria dos EUA e pelo FBI. Os NPAs normalmente não resultam em nenhuma acusação contra a empresa e não exigem que a empresa admita a responsabilidade.
Veja isso
Uber Eats tem vazamento de dados exposto na dark web
Servidor do FBI usado no envio de 100 mil e-mails falsos
Como parte do acordo, a Uber admitiu e aceitou a responsabilidade pelos atos de seus executivos, diretores, funcionários e agentes em ocultar da Federal Trade Commission (“FTC”) a violação de dados de 2016, que tinha uma investigação pendente sobre as práticas de segurança de dados da empresa. A investigação da FTC prosseguiu de 2015 a 2017, e suas perguntas escritas à Uber exigiram que a Uber fornecesse informações sobre qualquer acesso não autorizado a informações pessoais.
Na Declaração de Fatos do acordo, a Uber admite que seu pessoal não relatou a violação de dados de novembro de 2016 à FTC. De acordo com os fatos acordados, os hackers responsáveis pela violação de 2016 usaram credenciais roubadas para acessar um repositório privado de código-fonte e obter uma chave de acesso privada. Os hackers usaram essa chave para acessar e copiar grandes quantidades de dados associados aos usuários e motoristas da Uber, incluindo dados referentes a aproximadamente 57 milhões de registros de usuários com 600.000 números de carteira de motorista. A violação não foi relatada à FTC aproximadamente um ano depois, quando a nova liderança executiva estava gerenciando a empresa. Ao saber da violação de dados de 2016, a nova equipe de liderança investigou a violação e a divulgou aos motoristas afetados,
O acordo reconhece vários fatores que concluem a investigação criminal com um acordo de não persecução penal. Primeiro, o acordo observa uma mudança na gestão executiva no final de 2017 e a investigação imediata da nova equipe de liderança sobre a violação de 2016 e sua divulgação ao público, FTC, aplicação da lei e reguladores estrangeiros e domésticos e procuradores-gerais estaduais. Em segundo lugar, o acordo observa que a empresa investiu recursos substanciais para reestruturar e aprimorar significativamente as funções de conformidade, legais e de segurança da empresa.
Em terceiro lugar, o acordo descreve ainda que em outubro de 2018, após divulgar a violação de dados de 2016, a Uber firmou um acordo com a FTC sob o qual concordou em manter um programa de privacidade abrangente por 20 anos e relatar à FTC qualquer incidente relatado a outro governo agências relacionadas à intrusão não autorizada em informações de consumidores de indivíduos. Quarto, o acordo cita a total cooperação da Uber com a investigação do governo sobre este assunto, incluindo o processo criminal em andamento contra o ex-diretor de segurança da Uber por sua suposta tentativa de encobrir a violação de 2016. No entanto, as acusações nesse caso são meras alegações, e o réu nesse caso, como em todos os casos criminais, é presumido inocente até que se prove sua culpa além de qualquer dúvida razoável.
Por fim, o acordo também observa que a Uber resolveu litígios civis com os procuradores gerais de todos os 50 estados e do Distrito de Columbia relacionados à violação de dados de 2016, pagando US$ 148 milhões e concordando em implementar um programa de integridade corporativa, salvaguardas específicas de segurança de dados e incidentes. planos de resposta e notificação de violação de dados, juntamente com avaliações bienais.