Multa de 1.2 millones para Uber por atraso en reporte de incidente de seguridad

El sitio de peticiones de Uber mostró avisos de su rival tras un hack

Investigadores afirman que este incidente comprometió los buckets de Amazon S3 de la empresa

Uber Technologies decidió no revelar una violación de datos acontecida en 2016, decisión que sigue generando problemas para la plataforma de servicio de transporte.

Según reportes de expertos en forense digital, Uber ha sido multada por un monto de 1.2 millones de dólares, cantidad establecida por las autoridades reguladoras de datos de Reino Unido y Holanda, acusando a la empresa de políticas de seguridad de datos inadecuadas, así como por no informar en tiempo y forma sobre la violación de datos que la empresa sufrió. Las autoridades sostienen que este incidente, que la empresa tardó un año en reportar, expuso a los conductores y usuarios de Uber a un mayor riesgo de fraude cibernético.

El incidente comprometió la información personal de más de 50 millones de usuarios y 3 millones de conductores de Uber en todo el mundo, incluyendo nombres, direcciones de email y números de teléfono. Acorde a especialistas en forense digital, en algunos casos incluso se filtraron datos de ubicación, tokens de acceso y contraseñas de los usuarios. El incidente ocurrió en octubre de 2016, pero Uber la mantuvo en secreto hasta noviembre de 2017.

La Oficina del Comisionado de Información (ICO) del Reino Unido, encargada del cumplimiento con las leyes de protección de datos en territorio británico, ha multado a Uber con  385 mil libras. La ICO mencionó que el incidente ocurrió debido a “una serie de fallas” en la infraestructura de TI de Uber, agregando que cerca de 3 millones de usuarios de Uber en Reino Unido se vieron afectados por el incidente.

“La investigación de la ICO descubrió que la violación de datos fue posible gracias a la técnica de “relleno de credenciales” (credential stuffing), proceso mediante el cual los nombres de usuario y contraseñas se inyectan masivamente en un sitio web hasta que coinciden con una cuenta existente. Uber utiliza Amazon Web Services Simple Storage Service (S3), un servicio de almacenamiento basado en la nube, donde se resguarda su información.

Un atacante pudo acceder a múltiples buckets S3 de Uber debido a que el equipo de TI de la empresa dejó las credenciales de acceso a S3 en el código que fue cargado a GitHub, la popular plataforma de desarrollo y uso compartido de código. “El acceso a la cuenta en S3 de Uber se encontraba en un archivo de texto almacenado en GitHub”, mencionó la ICO.

Por su parte, Autoriteit Persoonsgegevens, la autoridad reguladora en materia de protección de datos de Holanda, impuso a Uber una multa de 600 mil libras por violar la legislación holandesa de seguridad de la información. “La empresa fue multada por no informar sobre la violación de datos dentro de las 72 horas posteriores al descubrimiento del incidente”, reportaron las autoridades de Holanda. Se calcula que cerca de 174 mil usuarios holandeses fueron afectados por el robo de datos.

La violación de datos ocurrió mientras Travis Kalanick se desempeñaba como CEO de Uber, pero se mantuvo en secreto hasta noviembre de 2017, luego de que Dara Khosrowshahi asumiera como CEO, quien ordenó se realizara una investigación forense digital.

A la postre, se supo que Uber había pagado 100 mil dólares a un joven  hacker de Florida por concepto de un “reporte de bug” como parte de su programa de recompensas. Sin embargo, las autoridades creen que el hacker había descubierto la violación de datos, y el pago que realizó la empresa se trataba de un soborno para mantener el incidente en secreto.

La violación de datos ocurrió antes de la entrada en vigor del Reglamento General de Protección de Datos de la Unión Europea (GDPR), por lo que Uber fue sancionada acorde a lo establecido en la Ley de Privacidad de Datos de Reino Unido, promulgada en 1998. Las multas impuestas acorde a esta ley no pueden exceder los 500 mil dólares.