Uber paga 100.000 US$ para encubrir un ciberataque que expuso los datos de 57m de usuarios

Se ha descubierto que una intrusión informática que expuso la información privada de millones de usuarios de Uber ha sido encubierta de forma deliberada por sus propios ejecutivos durante más de un año. Los altos rangos de Uber llegaron al extremo de pagarle a los ciberatacantes una suma de 100.000 dólares para que no expongan la información robada y mantengan el ataque en secreto.

Una nota en Bloomberg dio a conocer el incidente y, poco después, Dara Khosrowshahi, Directora Ejecutiva de Uber, admitió que un servicio externo con el que trabaja la compañía sufrió una intrusión informática por parte de dos hackers en octubre de 2016. Khosrowshahi aseguró que acababa de enterarse de la intrusión. “Nada de esto debería haber pasado y no voy a excusarlo”, dijo.

A raíz de esta amenaza, los atacantes consiguieron la información de registro al servicio de 57 millones de usuarios de Uber de todo el mundo. Según los informes de Bloomberg, los atacantes encontraron las credenciales de acceso de los ingenieros de Uber en Github, el reconocido repositorio de códigos. Los atacantes utilizaron estas credenciales para ingresar en un servidor de Amazon Cloud que almacenaba todos los datos, al parecer, sin cifrar.

La información robada incluía los nombres completos y números de licencia de los conductores registrados en la compañía y los correos electrónicos y números de teléfono de los pasajeros que emplean sus servicios. Uber aseguró que los intrusos no habían robado la información de tarjetas de crédito, cuentas bancarias y seguro social de sus usuarios, pero no confirmó si tuvieron acceso a ella aunque no la hayan robado.

Al momento del ataque, los hackers se pusieron en contacto con Uber para exigirle un pago de 100.000 dólares a cambio de eliminar los datos que habían robado. Uber accedió a pagar lo que pedían los atacantes y fue aún más allá: rastreó a los hackers y los obligó a firmar un acuerdo de confidencialidad para que no den a conocer lo sucedido. Después, escondieron los rastros del ataque haciendo pasar el pago por una recompensa a investigadores de seguridad por encontrar vulnerabilidades.

Uber está tratando de reponerse del daño que la intrusión y sus acciones causaron a sus usuarios y su reputación. La compañía ha contratado a un ex asesor de la Agencia de Seguridad Nacional de los EE.UU. para que le ayude a replantear sus prácticas de seguridad. También ha contratado los servicios de la compañía de seguridad Mandiant para que ayude a la compañía y sus usuarios a reponerse de la amenaza.

“Aunque no puedo borrar el pasado, puedo comprometerme en nombre de cada uno de los empleados de Uber a aprender de nuestros errores. Estamos cambiando nuestra forma de hacer negocios, poniendo nuestra integridad al centro de cada decisión que tomamos y trabajando duro para ganar la confianza de nuestros clientes”, dijo Khosrowshahi.

Fuentes

Uber concealed massive hack that exposed data of 57m users and drivers The Guardian

Uber Paid Hackers $100,000 For Silence On Cyberattack That Exposed 57 Million People’s Data Forbes

Uber Paid Off Hackers to Hide Massive Data Breach MIT Technology Review

Uber Hid 2016 Breach, Paying Hackers to Delete Stolen Data The New York Times