Hackers robaron los datos personales de 57 millones de pasajeros y conductores de Uber

Uber Technologies Inc. admitió el martes que los piratas informáticos robaron datos personales pertenecientes a 57 millones de clientes y conductores, hecho que ocultó durante más de un año.

El ataque, que tuvo lugar en octubre de 2016, resultó en el robo a nivel mundial de nombres, direcciones de correo electrónico y números de teléfono pertenecientes a 50 millones de usuarios de Uber, según Bloomberg, que informó por primera vez sobre el ataque.

También se robó información personal de 7 millones de conductores en todo el mundo, incluidos 600,000 números de licencia de conducir en los Estados Unidos.

Uber estaba obligado a alertar a los reguladores y conductores cuyos números de licencia de conducir se vieron comprometidos por el robo. En cambio, Uber pagó a los piratas informáticos $ 100,000 para borrar los datos robados y mantener oculta la brecha, según Bloomberg.

La oficina del fiscal general de Nueva York dijo el martes que estaba iniciando una investigación sobre la violación de datos.

Uber despidió a su jefe de seguridad, Joe Sullivan, y a uno de sus ayudantes por mantener oculta la noticia del ataque.

Dara Khosrowshahi, director ejecutivo del gigante de la transportación, dijo en una publicación de blog que se enteró de la violación recientemente. Lo describió como un ataque de dos piratas informáticos externos que accedieron a los datos de la empresa almacenados en una empresa basada en la nube informática.

“Nuestros expertos forenses externos no han visto ninguna indicación de que el historial de los viajes, los números de tarjetas de crédito, números de cuentas bancarias, números de seguridad social o fechas de nacimiento hayan sido descargados”, dijo Khosrowshahi.

Según los informes, los hackers robaron contraseñas pertenecientes a ingenieros de Uber desde un sitio de codificación privado de GitHub. Usaron esas credenciales para acceder a los datos de la compañía almacenados en Amazon Web Services. Luego contactaron a Uber, exigiendo dinero.

“Nada de esto debería haber sucedido, y no voy a poner excusas para eso. Aunque no puedo borrar el pasado, puedo comprometerme en nombre de cada empleado de Uber que aprenderemos de nuestros errores “, dijo Khosrowshahi, a quien se le encomendó la tarea de rectificar la imagen y las prácticas comerciales de Uber después de reemplazar al polémico fundador de la compañía, Travis Kalanick. , como jefe de la empresa en agosto.

El encubrimiento marca un punto negro más para una empresa que desde hace mucho tiempo ha tenido enfrentamientos con los reguladores y los líderes de la ciudad en todo el mundo, ya que introdujo su negocio disruptivo.

Bajo Kalanick, la ética de la compañía fue repetidamente cuestionada por violar la privacidad del cliente y ocultar datos de los reguladores. A principios de este mes, Londres revocó la licencia de funcionamiento de Uber.

No está claro qué papel desempeñó Kalanick, que sigue siendo miembro del directorio de Uber, después del ataque. Un portavoz de Kalanick se negó a comentar.

No es inusual que las empresas paguen a los hackers que han comprometido sus sistemas. Las empresas que son víctimas de ransomware a menudo pagan un “rescate” para restaurar sus sistemas.

Las empresas a veces compran datos que los piratas informáticos afirman haber robado en un intento de determinar si una supuesta violación es genuina. Una vez considerados legítimos, los expertos dicen que la empresa tiene la obligación de advertir a los afectados.

“Uber tiene la responsabilidad de mantener la seguridad de los datos del conductor y del pasajero. Así que le pagan a los piratas informáticos para reducir las posibilidades de que esos datos “se propaguen”, dijo Guy Podjarney, CEO de Snyk, una compañía de seguridad que encuentra y corrige vulnerabilidades en el código abierto. “El problema no es pagar lo que es casi una multa por no mantener su sistema seguro. El problema es ocultarlo”.

Para leer esta nota en inglés, haga clic aquí