211service.com
Uber pagó a piratas informáticos para ocultar una violación masiva de datos
Getty
Uber ha dado muchos giros equivocados en los últimos años. Pero el último es sin duda uno de los más dañinos. Bloomberg ha revelado que la empresa ocultó durante más de un año una violación masiva de datos que expuso registros confidenciales de millones de conductores y clientes. La violación, que ocurrió en octubre de 2016, supuestamente fue ocultada por el director de seguridad de Uber, Joe Sullivan, y otros. Sullivan y uno de sus ayudantes han sido despedidos por la empresa. Travis Kalanick, cofundador y exdirector ejecutivo de la empresa, se enteró de la violación poco después de que ocurriera.
en un presione soltar publicado poco después de que apareciera la historia de Bloomberg, el actual CEO de Uber, Dara Khosrowshahi, dijo que los piratas informáticos habían podido descargar archivos que contenían una cantidad significativa de información, incluidos los nombres y números de licencia de conducir de alrededor de 600,000 conductores en los Estados Unidos, así como información personal como nombres, direcciones de correo electrónico y números de teléfono móvil de 57 millones de usuarios de Uber en todo el mundo. La compañía dice que los expertos forenses externos a los que llamó para analizar la violación no han visto ninguna indicación de que se hayan descargado números de tarjetas de crédito, detalles de cuentas bancarias y números de Seguro Social. Pero no dijo que tales detalles no habían sido violados.
Al igual que con mega-hacks anteriores, surgirán más detalles en los próximos días y semanas. Pero ya hay preguntas apremiantes que exigen respuestas rápidas. ¿Quién exactamente dentro del personal de Uber supo sobre el ataque después de que ocurrió, y cuántas personas participaron activamente en el encubrimiento, lo que implicó pagar a los piratas informáticos $ 100,000 para eliminar datos y mantener la violación en secreto? ¿Se le informó a alguien en el directorio de Uber sobre la intrusión en ese momento? ¿Si no, porque no? ¿Y por qué Uber no informó rápidamente a los reguladores sobre el ataque?
Historia relacionada
Historia relacionada Un número pequeño pero creciente de empresas de ciberseguridad está introduciendo programas de garantía que pueden servir como seguro contra el costo de una posible violación de datos.El informe de Bloomberg dice que cuando ocurrió la violación, Uber ya estaba hablando con los reguladores de EE. UU. sobre violaciones de privacidad separadas y acababa de resolver un caso con la Comisión Federal de Comercio por el mal manejo de los datos del consumidor. También informó el mes pasado que la junta de la compañía había iniciado una investigación sobre las actividades del equipo de seguridad de Sullivan. Fue el bufete de abogados externo que lideró ese esfuerzo el que descubrió el truco y el encubrimiento.
La brecha plantea grandes interrogantes sobre el estado de las prácticas de seguridad de Uber. Según Bloomberg, los intrusos pudieron encontrar las credenciales de inicio de sesión de los ingenieros de Uber en Github, un repositorio de códigos ampliamente utilizado. Estos les dieron acceso a un servidor de computación en la nube de Amazon que contiene los datos. Esa es una violación sorprendente de los fundamentos de seguridad. También es sorprendente que una cantidad tan grande de datos personales confidenciales aparentemente se mantuvieran en un servicio de terceros sin estar encriptados.
Uber ahora se esfuerza por limitar el daño a su reputación. La compañía contrató a un exconsejero general de la NSA para que la ayude a repensar sus prácticas de seguridad y también contrató a Mandiant, una firma de ciberseguridad que se ha ocupado de las consecuencias de muchas infracciones de alto perfil. Khosrowshahi se enteró recientemente de la brecha. Nada de esto debería haber sucedido, dijo en el comunicado, y no lo excusaré. Eso está bien, porque el comportamiento y las prácticas que llevaron a este fiasco son imperdonables.