agsandrew - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Brecha de Uber afectó a 57 millones de usuarios y se ocultó por un año

Una brecha en Uber de 2016 que afectaba los datos de 57 millones de usuarios fue ocultada por la compañía, incluyendo un pago de $100,000 a los atacantes para mantener el incidente en silencio.

Actores malintencionados robaron datos personales de cientos de miles de conductores de Uber y millones de usuarios de Uber, y la compañía presuntamente ocultó la violación durante un año, e incluso pagaron a los atacantes para que se callaran.

Según el nuevo CEO, Dara Khosrowshahi, la brecha en Uber se debió a que dos actores malintencionados accedieron a "un servicio basado en la nube de un tercero" –según se informa, GitHub y Amazon Web Services (AWS)– a finales de 2016 y descargaron archivos que contenían nombres e información sobre las licencias de 600.000 conductores de Uber de Estados Unidos e información personal –nombres, direcciones de correo electrónico y números de teléfono– para 57 millones de clientes de Uber de todo el mundo. Según Bloomberg, que fue el primero en denunciar el incumplimiento de Uber, el incidente fue cubierto por dos miembros del equipo de seguridad de la información de la compañía.

"Nada de esto debería haber sucedido, y no daré excusas por ello. Aunque no puedo borrar el pasado, puedo comprometerme en nombre de cada empleado de Uber que aprenderemos de nuestros errores", escribió Khosrowshahi en una publicación de blog. "Estamos cambiando la forma en que hacemos negocios, colocando la integridad en el centro de cada decisión que tomamos y trabajando duro para ganar la confianza de nuestros clientes".

Khosrowshahi dijo que la "falta de notificación a las personas o reguladores afectados el año pasado" provocó una serie de acciones, incluyendo el despido de las dos personas responsables de la respuesta al incumplimiento de Uber –Joe Sullivan, ex fiscal federal y ahora ex CSO de Uber, y Craig Clark, uno de los ayudantes de Sullivan–, notificar y ofrecer identificación y supervisión de crédito a los conductores afectados, notificar a los reguladores y supervisar las cuentas de los clientes afectados.

Detalles de la violación de datos de Uber

Según Bloomberg, los atacantes accedieron a un repositorio privado de GitHub utilizado por Uber en octubre de 2016 y usaron credenciales robadas de GitHub para acceder a un archivo de información almacenado en una cuenta de AWS.

Terry Ray, CTO de Imperva, dijo que el uso de GitHub "parece ser un excelente ejemplo de buenas intenciones que han salido mal".

"Usar una plataforma de colaboración y codificación en línea no es necesariamente incorrecto, y no está claro si que pirateen sus cuentas en estas plataformas es incluso poco común. El problema comienza con por qué los datos de producción en vivo se usaron en una plataforma en línea donde las credenciales estaban disponibles en GitHub", dijo Ray a SearchSecurity. "Lamentablemente, es muy común que los desarrolladores puedan copiar datos de producción en vivo para su uso en desarrollo, pruebas y control de calidad. Estos datos casi nunca se monitorean o aseguran, y como podemos ver aquí, a menudo se almacenan en varios lugares y a menudo son fácilmente accesibles por actores nefastos".

Según los informes, Sullivan tomó la delantera en la respuesta a la brecha de Uber y, junto con Clark, trabajó para mantener el incidente en secreto, incluyendo el pago a los atacantes de 100.000 dólares para eliminar los datos personales robados en silencio.

Khosrowshahi mencionó la comunicación con los atacantes en su publicación de blog, pero no admitió ningún pago.

"En el momento del incidente, tomamos medidas inmediatas para proteger los datos y cerrar el acceso no autorizado de las personas. Posteriormente, identificamos a las personas y obtuvimos garantías de que los datos descargados habían sido destruidos", escribió Khosrowshahi. "También implementamos medidas de seguridad para restringir el acceso y fortalecer los controles en nuestras cuentas de almacenamiento basadas en la nube".

Jeremiah Grossman, jefe de estrategia de seguridad de SentinelOne, dijo que puede ser "difícil, si no imposible, que una organización bloquee" un vector como GitHub.

"Los desarrolladores accidentalmente, y a menudo sin saberlo, comparten credenciales sobre GitHub todo el tiempo, donde quedan expuestos", dijo Grossman a SearchSecurity. "Si bien los controles de seguridad tradicionales siguen siendo cruciales para la seguridad de la organización, no es bueno si las personas con acceso a información privada exponen sus credenciales de cuenta en un lugar donde otros puedan obtenerlas y utilizarlas indebidamente".

Willy Leichter, vicepresidente de marketing de Virsec Systems, Inc., dijo que si se verifican los detalles de este incumplimiento de Uber, podría ser extremadamente dañino para la empresa.

"Esta es una violación asombrosa de la confianza del cliente, el comportamiento ético, el sentido común y los requisitos legales para la notificación de incumplimiento. Pagar a los hackers para que oculten sus crímenes es tan miope como estúpido", dijo Leichter a SearchSecurity." Si esto hubiera sucedido después de que la GDPR de la UE entrara en acción, Uber dejaría de existir. Ese puede ser el resultado de todos modos".

Ramificaciones de la brecha de Uber

La brecha de 2016 es la última en una larga lista de problemas para Uber. En el momento del incidente, Uber ya estaba siendo investigado por violaciones de privacidad separadas. La compañía también está luchando contra varios juicios de ciudades y usuarios.

Jim Kennedy, vicepresidente de Norteamérica en Certes Networks, dijo que la ya cuestionable reputación de Uber debería sufrir un gran golpe.

"Lo más probable es que la gerencia de Uber, al ver las repercusiones de los ciberataques en nombres similares, deseara evitar el daño reputacional, un error de juicio masivo", dijo Kennedy a SearchSecurity. "La realidad es que la desconfianza de los clientes hacia la marca se verá amplificada por los intentos de la compañía de ocultarles los hechos y apunta a la necesidad de un cambio en la industria".

Adam Levin, experto en ciberseguridad y cofundador y presidente de CyberScout, dijo que la brecha de Uber es otro ejemplo de que la compañía "coloca el valor de las acciones por encima de la privacidad a expensas de los conductores y los consumidores".

"Uber hizo un choque y fuga con nuestra privacidad, y creó un evento de extinción o casi extinción completamente evitable, y dañó aún más la marca ya empañada", dijo Levin a SearchSecurity. "Como siempre, el objetivo para una empresa que enfrenta una brecha o compromiso debe ser la urgencia, la transparencia y, sobre todo, la empatía por los afectados".

Ken Spinner, vicepresidente de ingeniería de campo de Varonis, dijo que la brecha de datos de Uber probablemente "disparará a consumidores que ya están enfadados, quienes van a exigir acción y protección".

"Todo fiscal general del estado va a estar salivando ante la perspectiva de demandar a Uber. Si bien no existen regulaciones federales generales en los Estados Unidos, hay un mosaico de regulaciones estatales que dictan cuándo deben hacerse las divulgaciones; a menudo es cuando un número determinado de usuarios se han visto afectados", dijo Spinner a SearchSecurity. "Sin duda, Uber ha superado este umbral y ha violado muchos de ellos al no revelar la violación durante más de un año. Este es el último ejemplo de cómo ocultar una brecha rara vez beneficia a una empresa y, con seguridad, será contraproducente".

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close