Uber sufrió en octubre de 2016 un ataque cibernético que expuso los datos confidenciales de 57 millones de usuarios entre clientes y conductores, según ha
reconocido la compañía después de que
Bloomberg haya destapado el caso. El antiguo director ejecutivo Travis Kalanick (en la foto de cabecera) fue informado solo un mes después del incidente, pero decidió no hacerlo público mientras que el jefe de seguridad Joe Sullivan trabajó para ocultarlo.
A pesar de tener la obligación legal de informar del ataque, Bloomberg afirma que Uber pagó a los asaltantes un rescate de 100.000 dólares (85.000 euros) para eliminar los datos robados y no informar a los medios o las agencias reguladoras gubernamentales. ”Nada de esto debería haber pasado y no voy a poner excusas por ello”, dijo Dara Khosrowshahi, actual director ejecutivo de Uber. “A pesar de que no puedo borrar el pasado, me puedo comprometer en nombre de cada empleado de Uber que aprenderemos de nuestros errores”.
Los atacantes obtuvieron nombres, direcciones de correo electrónico y números de teléfono de 50 millones de usuarios de Uber. También accedieron a los datos de 7 millones de conductores incluyendo los números de carné de conducir, una forma muy común de identificarse en Estados Unidos. Khosrowshahi descarta que los asaltantes consiguieran acceder a los números de tarjeta de crédito, datos bancarios, de la Seguridad Social o al historial de viaje de los usuarios.
La junta directiva de Uber empezó a investigar al equipo de seguridad de Sullivan el mes pasado, movimiento que reveló el ciberataque y su posterior encubrimiento. Como resultado directo, Sullivan y otro empleado han sido despedidos.
Según informa Bloomberg, los atacantes accedieron a un repositorio de Github usado por los ingenieros de Uber y usaron las credenciales de acceso para obtener los datos almacenados en el servicio de computación en la nube Amazon Web Services, lugar desde donde extrajeron los datos. Posteriormente extorsionaron a Uber pidiendo 100.000 dólares, cantidad que terminó siendo abonada. Eric Schneiderman, fiscal general de Nueva York, ha
abierto una investigación después de haber sido oficialmente informado.
"En el momento del incidente, tomamos medidas inmediatas para proteger los datos de los usuarios e impedir el acceso no autorizado. También establecimos medidas de seguridad para restringir el acceso y fortalecer los controles en nuestras cuentas de almacenamiento basadas en la nube", dijo Khosrowshahi. Uber contrató a un antiguo abogado de la Agencia de Seguridad Nacional (NSA) y se hizo con los servicios de la empresa de seguridad Mandiant para investigar más a fondo el ataque.
Fuente: The Verge