En un comunicado de prensa, el actual CEO de Uber,
Dara Khosrowshahi, dijo que unos piratas informáticos habían logrado descargar
archivos que contenían una importante cantidad de información, incluidos los
nombres y números de licencia de alrededor de 600.000 conductores en Estados
Unidos, como así como información personal como nombres, direcciones de correo
electrónico y números de teléfono móvil de 57 millones de usuarios de Uber en
todo el mundo. La empresa dice que los expertos forenses externos que contrató
para analizar la filtración no han visto ninguna indicación de que los números
de las tarjetas de crédito, los detalles de la cuenta bancaria ni los números
de la seguridad social hayan sido descargados. Pero tampoco confirma que esos
no se hayan filtrado.
Al igual que con anteriores ciberataques masivos, sabremos más detalles
durante los próximos días y semanas. Pero ya hay algunas preguntas urgentes que
necesitan respuestas rápidas. ¿Quién exactamente dentro del personal de Uber
tenía información sobre el ataque después de que ocurriera y cuántas personas
participaron activamente en encubrirlo, algo que requirió pagar unos 85.000
euros a los hackers a cambio de eliminar datos y mantener la filtración en
secreto? ¿Alguien de la junta de Uber fue informado sobre el ataque en ese
momento? Si no, ¿por qué no? ¿Y por qué no informó Uber rápidamente a los
reguladores del hackeo?
Según Bloomberg, cuando ocurrió la filtración, Uber ya estaba
manteniendo conversaciones con los reguladores de Estados Unidos sobre otras
violaciones de privacidad y acababa de resolver un caso con la Comisión Federal
de Comercio de EE. UU. sobre el mal manejo de los datos de los consumidores. El
mes pasado, el medio también informó de que la junta de la compañía había
iniciado una investigación sobre las actividades del equipo de seguridad de
Sullivan. El bufete de abogados externo que lideró ese esfuerzo fue el que
descubrió el hackeo y el encubrimiento posterior.
La violación de datos también plantea preguntas sobre las prácticas de
seguridad de Uber. Según Bloomberg, los intrusos pudieron encontrar las
credenciales de inicio de sesión de los ingenieros de Uber en Github, un
repositorio de códigos ampliamente utilizado, que les dio acceso a un servidor
de computación en la nube de Amazon que contenía los datos. Esa es una chocante
violación de los fundamentos de ciberseguridad. También es asombroso que
cantidades tan grandes de datos personales confidenciales estuvieran se
estuvieran almacenando en un servicio externo aparentemente sin encriptar.
Ahora, Uber lucha por minimizar los daños a su reputación. La compañía
ha contratado a un exasesor de la Agencia Nacional de Seguridad de Estados
Unidos para ayudarla a replantear sus prácticas de seguridad y también ha
reclutado a Mandiant, una empresa de ciberseguridad que ha lidiado con las
consecuencias de muchas infracciones de alto perfil. Khosrowshahi se enteró del
ciberataque a finales de 2016. En un comunicado afirma: "Nada de esto
debería haber sucedido, y no les ofreceré excusas". Menos mal, porque el
comportamiento y las prácticas que han dado lugar a este fiasco son inexcusables.
Fuente: MIT Technology Review