Uber confirma la brecha de seguridad del 2016 con el agravante de haber pagado a los hackers

Uber habría pagado a los hackers para que borraran los datos robados de 600.000 conductores de la compañía y 57 millones de usuarios del servicio, fruto del acceso inapropiado al repositorio de Uber GitHub.

Uber aplicacion y vehículo

Uber ha confirmado que en el mes de octubre del año 2016 sufrió una brecha de seguridad en la que se filtró información de 600.000 conductores del servicio de Estados Unidos, así como información personal de 57 millones de usuarios de Uber alrededor de todo el mundo.

El CEO de la compañía, Dara Khorowshahi, ha declarado que los datos filtrados incluyen información de los nombres de los pasajeros, direcciones de correo y número de teléfonos móviles, pero no se habrían visto afectados los números de tarjetas o información de pago de los usuarios. Recordemos que Khorowshahi reemplazó el pasado mes de agosto al anterior CEO y fundador Travis Kalanick.

Desde la compañía confirman que a finales de 2016 fueron conscientes de que dos personas, ajenas a la empresa, habían accedido inapropiadamente a datos de usuarios almacenados en un servicio de terceros basado en la nube que la compañía utiliza. De esta forma, destaca su CEO, “el incidente no violó nuestros sistemas corporativos o nuestra infraestructura”.

Bloomberg, la cual publica detalles de la brecha que ahora sale a la luz, informa que los atacantes habrían obtenido credenciales de un repositorio privado de Uber GitHub, el cual utilizaban para acceder a los datos almacenados en la nube del servicio de Amazon Web Services. Uber mantuvo la brecha en secreto y pagó a los piratas informáticos la cantidad de 100.000 dólares para poder eliminar los datos, destaca Bloomberg.

El responsable de seguridad de Uber, Joe Sullivan, habría abandonado la compañía así como otro ejecutivo de la compañía. Khrosrowshahi destaca que la compañía tomó medidas en el mismo instante que supo del incidente para proteger los datos y bloquear el acceso no autorizado. Desde la compañía también destacan haber fortalecido los controles de acceso a las cuentas de almacenamiento basadas en la nube.

El CEO también desvela que ordenó una investigación exhaustiva de la brecha de seguridad, incluyendo la falta de notificación a las personas afectadas. Este tipo de situaciones confirma la necesidad de la puerta en marcha de leyes como la de GDPR que entrará en vigor en Europa, obligando a las compañías a notificar este tipo de incidentes. La brecha confirmada ahora por Uber consta de hace más de un año, algo que se ha vuelto una tónica si tenemos en cuenta otras similares como las sufridas por Yahoo en el pasado y que se ha puesto en conocimiento de las personas y empresas años después. 

Ricardo Maté, director general de la firma especializada en seguridad Sophos Iberia, asegura que "la filtración es una muestra más de que es necesario tomarse la ciberseguridad en serio y que nunca se debe incrustar o implementar tokens de acceso o claves en repositorios de códigos fuente. Por lo general, este tipo de maniobras no son descubiertas mientras las empresas quieren mantenerlas en secreto". Además, asevera que "Uber no es ni será la única compañía en ocultar una filtración de datos o un ciberataque. No notificar a los consumidores los expone a un mayor riesgo de ser víctimas de fraude. Es por esta razón que muchos países están impulsando una regulación que obligue a las empresas a divulgar sus brechas de seguridad". Por último, la compañía recomienda a los clientes de Uber que comprueben sus cuentas bancarias y mantengan los ojos bien abiertos para no ser víctimas de un robo.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper