Uber ocultó durante más de un año un ciberataque masivo que afectó a 57 millones de usuarios

Un grupo de hackers robó los datos de 57 millones de usuarios y conductores de la compañía

  • Uber pagó 100.000 dólares a los hackers para borrar la información
Bolsamanía
Bolsamania | 21 nov, 2017 23:31 - Actualizado: 12:00
cbuber823
Uber oculta un ciberataque masivo

Dos hackers robaron los datos de 57 millones de usuarios y conductores de Uber, una brecha de seguridad masiva que la compañía ocultó durante más de un año. La compañía ha destituido al jefe de Seguridad, Joe Sullivan, y a uno de sus ayudantes por haber ocultado el hackeo.

Según informa Bloomberg, el ataque, en octubre de 2016, comprometió datos de 50 millones de usuarios de Uber, incluyendo nombres, direcciones de correo electrónico y números de teléfono. Además, también quedó al descubierto la información de 7 millones de conductores, incluso los números de 600.000 licencias en Estados Unidos. Uber matiza que el ataque no afectó a números de la Seguridad Social, números de tarjeta de crédito o datos de los trayectos.

Uber pagó a los hackers para eliminar los datos y mantener el robo en silencio

En el momento del incidente, Uber estaba negociando con los reguladores de Estados Unidos que investigaban reclamos por separado de violaciones a la privacidad. Uber afirma ahora que tenía la obligación legal de informar sobre el ataque a los reguladores y a los conductores cuyas licencias se tomaron. Sin embargo, en lugar de eso, la compañía pagó a los hackers 100.00 dólares para eliminar los datos y mantener el robo en silencio. La compañía afirma que cree que la información nunca se usó, aunque no ha querido revelar las identidades de los hackers.

El entonces CEO de Uber y cofundador de la empresa, Travis Kalanick, se enteró del hackeo en noviembre de 2016, apenas un mes después de que se produjera, según ha informado Uber a Bloomberg. El actual CEO de la compañía, Dara Khosrowshahi, ha emitido un comunicado en el que se disculpa por haber ocultado el ataque: "Nada de esto debería haber sucedido y no voy a poner excusas por ello".

Sin embargo, explica que la empresa tomó todas las medidas de seguridad tras conocerse la brecha para "proteger los datos y cerrar el acceso no autorizado". Además, añade que se añadieron medidas de seguridad para fortalecer los controles en sus cuentas de almacenamiento basadas en la nube".

Los datos comprometidos, según ha añadido Uber, estaban en una de sus cuentas de Amazon Web Services. Los hackers, tras acceder a ellas, descubrieron los archivos de los usuarios con sus datos y los datos de su conductor. Después, pidieron dinero a Uber a través de un correo electrónico.

PREOCUPACIÓN EN LA ICO

La autoridad de protección de datos (ICO, por sus siglas en inglés) de Reino Unido ha abierto una investigación sobre el robo de datos ya que, asegura, esto plantea "grandes preocupaciones" en torno a las políticas y ética de protección de datos de Uber.

El director adjunto del ICO, James Dipple-Johnstone, aseguró que trabajarán junto a otras autoridades relevantes, tanto en Reino Unido como en el extranjero, para determinar la escala de la violación de datos, hasta qué punto ha afectado a las usuarios y qué medidas debe tomar la empresa para garantizar que cumple plenamente con sus obligaciones de protección de la información. "Ocultar deliberadamente este tipo de infracciones a los reguladores y a los propios afectados podría atraer mayores multas", aseveró Dipple-Johnstone.

Según las nuevas reglas de protección de datos que entran en vigor en la Unión Europea el próximo mes de mayo, las empresas tendrán que identificar y notificar a los reguladores las violaciones de datos en un plazo de 72 horas o se podrían enfrentar a sanciones significativamente mayores.

contador