Según informan desde MuyComputerPro, Uber ha confirmado que unos hackers provocaron una brecha de datos en octubre de 2016, en la cual se filtraron los datos personales de 7 millones de conductores y 57 millones de usuarios.
En las declaraciones oficiales sobre este asunto, del que hay versiones para los socios y los usuarios, la empresa ha especificado que los hackers se han hecho con nombres reales, direcciones de email, números de teléfono móvil. Además, también han descargado 600.000 licencias de conducción pertenecientes a trabajadores de Estados Unidos.
Aun así, según la propia Uber, en el ataque no se sustrajeron historiales de localización, números de crédito, números de cuentas bancarias, números de la Seguridad Social ni fechas de nacimiento. A pesar de que el ataque se produjo en octubre de 2016, la compañía no tuvo constancia del suceso hasta un mes después.
Según un mensaje procedente de la CEO de Uber, Dara Khosrowshahi, habrían sido dos hackers los que provocaron la brecha de datos. Sin embargo, quizá el cómo gestionó la compañía el asunto sea posiblemente lo más interesante, ya que según Bloomberg, Uber habría pagado 100.000 dólares estadounidenses para que los hackers borraran los datos y se mantuvieran en silencio.
El padecer una brecha de datos de estas características suele tener consecuencias como despidos y renuncias por parte de los responsables de ciertas áreas. Si la mala trayectoria de Yahoo y las brechas de datos podrían haber sido los motivos de la dimisión de Marissa Mayer, en Uber se forzó la renuncia de su jefe en ciberseguridad, John Sullivan, y se despidió a uno de los abogados que hicieron de asistente del propio Sullivan.
Uber no decidió informar a las fuerzas de la ley y la FCT del ataque hacker hasta la pasada semana, cuando vio que las evidencias eran demasiado fuertes como para mantener oculto lo ocurrido. Tras hacerse público, el Fiscal General de Nueva York inició una investigación sobre la forma en que la compañía gestionó el incidente, con el énfasis puesto en que no se informó con diligencia a usuarios y conductores.
Al parecer, los datos no estaban almacenados por la propia Uber, sino que los hackers “accedieron de forma inapropiada a los datos de usuario almacenados en un servicio en la nube de un tercero”, según ha informado Khosrowshahi, por lo se sospecha de un servidor mal configurado en términos de seguridad.
Fuente:https://www.muyseguridad.net/2017/11/22/uber-ocultado-brecha-de-datos-octubre-2016/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad