A Cabify está analisando alegações de que um ator ameaçador obteve um banco de dados contendo informações detalhadas sobre centenas de milhares de seus motoristas. Um usuário conhecido como Perro postou amostras em um fórum online e ofereceu o conjunto completo de dados para venda. As amostras parecem incluir nomes completos, endereços residenciais, números de telefone, endereços de e-mail e identificadores vinculados ao Facebook Account Kit. Pesquisadores que analisaram o material afirmam que a estrutura dos dados é consistente com as informações coletadas durante a integração do motorista.
A Cabify, com sede em Madri e operando em toda a Espanha e América Latina, não confirmou se seus sistemas ou os de terceiros foram comprometidos. A empresa também não comentou quando os dados alegados foram obtidos ou se se referem a motoristas atuais ou antigos. Analistas observam que os campos vazados sugerem que a fonte pode ser um sistema de registro ou verificação de identidade, e não apenas dados de suporte rotineiros. A integração de motoristas geralmente envolve coletar informações pessoais e de contato, além de identificadores de redes sociais ou de plataforma usados para autenticação.
A natureza dos dados expostos levanta preocupações porque os registros incluem múltiplas informações pessoais que podem ser combinadas para se passar por motoristas ou para alvejá-los com mensagens fraudulentas. Endereços, números de telefone e informações de e-mail podem ser usados para engenharia social. Identificadores de redes sociais podem permitir que criminosos vinculem contas online a perfis do mundo real, aumentando a credibilidade de golpes direcionados. Especialistas em segurança afirmam que conjuntos de dados desse tamanho são atraentes para atores ameaçadores porque oferecem amplas oportunidades para ataques baseados em identidade.
Considerações regulatórias também entram em destaque. Se os dados forem comprovados como genuínos e provenientes dos sistemas da Cabify, a empresa será obrigada a avaliar as obrigações de notificação conforme a legislação europeia de privacidade. O Regulamento Geral de Proteção de Dados exige que as organizações notifiquem reguladores e indivíduos afetados quando informações expostas criam risco de dano. Detalhes pessoais, como endereços residenciais e informações de contato, são considerados sensíveis quando vinculados a um indivíduo identificável. Empresas que atuam em múltiplas regiões também devem coordenar com autoridades regionais se os dados envolverem motoristas fora da União Europeia.
O incidente destaca os desafios de cibersegurança enfrentados pelas plataformas de mobilidade que gerenciam grandes volumes de informações de identidade. Os sistemas de registro de motoristas lidam com identificação emitida pelo governo, documentos de triagem de antecedentes e informações detalhadas de contato que podem permanecer valiosas para criminosos muito tempo após serem coletadas. Essas plataformas podem nem sempre ter o mesmo nível de investimento em segurança que instituições financeiras, apesar de possuir dados igualmente sensíveis. Analistas dizem que registros vazados de integração frequentemente continuam circulando em fóruns clandestinos mesmo após as vendas iniciais, levando a uma exposição de longo prazo para os indivíduos afetados.
A Cabify não forneceu um cronograma para sua revisão interna. Pesquisadores de segurança recomendam que motoristas que compartilharam informações com a empresa permaneçam atentos a mensagens solicitando dados pessoais, solicitações inesperadas de verificação ou alterações nos dados da conta. Eles também aconselham monitorar as contas financeiras e de identidade para detectar atividades incomuns enquanto a empresa investiga a reivindicação.