Uber pagó 100.000 dólares para ocultar un ataque que expuso los datos de 57 millones de usuarios

Uber sufrió en octubre de 2016 un ataque cibernético que expuso los datos confidenciales de 57 millones de usuarios entre clientes y conductores, según ha reconocido la compañía después de que Bloomberg haya destapado el caso. El antiguo director ejecutivo Travis Kalanick (en la foto de cabecera) fue informado solo un mes después del incidente, pero decidió no hacerlo público mientras que el jefe de seguridad Joe Sullivan trabajó para ocultarlo.

A pesar de tener la obligación legal de informar del ataque, Bloomberg afirma que Uber pagó a los asaltantes un rescate de 100.000 dólares (85.000 euros) para eliminar los datos robados y no informar a los medios o las agencias reguladoras gubernamentales. ”Nada de esto debería haber pasado y no voy a poner excusas por ello”, dijo Dara Khosrowshahi, actual director ejecutivo de Uber. “A pesar de que no puedo borrar el pasado, me puedo comprometer en nombre de cada empleado de Uber que aprenderemos de nuestros errores”.

Los atacantes obtuvieron nombres, direcciones de correo electrónico y números de teléfono de 50 millones de usuarios de Uber. También accedieron a los datos de 7 millones de conductores incluyendo los números de carné de conducir, una forma muy común de identificarse en Estados Unidos. Khosrowshahi descarta que los asaltantes consiguieran acceder a los números de tarjeta de crédito, datos bancarios, de la Seguridad Social o al historial de viaje de los usuarios.

La junta directiva de Uber empezó a investigar al equipo de seguridad de Sullivan el mes pasado, movimiento que reveló el ciberataque y su posterior encubrimiento. Como resultado directo, Sullivan y otro empleado han sido despedidos.

Según informa Bloomberg, los atacantes accedieron a un repositorio de Github usado por los ingenieros de Uber y usaron las credenciales de acceso para obtener los datos almacenados en el servicio de computación en la nube Amazon Web Services, lugar desde donde extrajeron los datos. Posteriormente extorsionaron a Uber pidiendo 100.000 dólares, cantidad que terminó siendo abonada. Eric Schneiderman, fiscal general de Nueva York, ha abierto una investigación después de haber sido oficialmente informado.

"En el momento del incidente, tomamos medidas inmediatas para proteger los datos de los usuarios e impedir el acceso no autorizado. También establecimos medidas de seguridad para restringir el acceso y fortalecer los controles en nuestras cuentas de almacenamiento basadas en la nube", dijo Khosrowshahi. Uber contrató a un antiguo abogado de la Agencia de Seguridad Nacional (NSA) y se hizo con los servicios de la empresa de seguridad Mandiant para investigar más a fondo el ataque.

Fuente: The Verge
Y digo yo, se arriesga alguien a cometer un crimen por 100K de dólares?

Siempre se ha dicho que si vas a robar que valga la pena como para jubilarte de por vida.
Que cabrones, tratando de ocultarlo, espero que les caiga una buena.
100.000$ perdidos...

Hoy en dia todo es hackeable como se pongan.
Darkian escribió:100.000$ perdidos...

Hoy en dia todo es hackeable como se pongan.


Lo de los 100.000 dólares va a ser lo de menos en cuanto este tema vaya adelante. Tratar de ocultar un fallo de este estilo, si no te lleva a demandas millonarias, como mínimo les hará perder mucho más valor de cotización a la empresa que esos 100.000 pavos.
Pues muy bien no lo han ocultado, no.
A ver sí soy corto yo o lo he entendido bien. O sea que tienen los datos (los míos también) de mi perfil de uber incluido las tarjetas en un AWS en el cual cualquier empleado puede acceder? Pues me estoy planteando dar de baja la tarjeta y de paso dejar de usar el servicio
Igual no sois conscientes, pero esto es muy común, les ha pasado a muchas empresas y la reacción habitual es exactamente esta, los atacantes (normalmente mafias asiáticas) se lleva un buen pellizco y el robo de datos jamás ve la luz. Las más vulnerables son empresas medianas, y habitualmente son chantajeadas con cifras más pequeñas que puedan estar dispuestas a pagar.
Este parece Borbon ... "Lo siento, no volverá a suceder"
En ingles la explicación mola más:

hackers with access to a public GitHub code repository used by Uber engineers were able to collect private login credentials to an Amazon cloud computing server


Osea, no solo tenían las credenciales en el repo sino que era público? Que cracks.

Técnicamente, si el repositorio era público, las credenciales de AWS no eran privadas XD.
De nada sirve estar blindado en casa con una caja faraday, si luego a estas empresas les roban tus datos. Al final no hay nada seguro en la informática.
100000$ VAYA ganga...y de camino comentar......a ver si uber se anima a España entera y hace competencia a taxis
Increible que esto no haya tenido más eco (nada en ningún periódico).

Por otro lado, sólo 100.000 $ por los datos de 57.000.000 de usuarios me parece irrisorio. Algo no huele bien...
13 respuestas