Se ha informado que Uber ocultó una violación masiva de datos de un hackeo que involucró los datos de 57 millones de clientes y conductores, y luego pagó a los piratas informáticos 100,000 XNUMX dólares para eliminar los datos y guardar silencio al respecto.

¿Hace más de dos años?

Según se informa, la piratería de los datos almacenados del servicio de transporte compartido Uber tuvo lugar hace más de dos años. En lugar de informar la infracción a los reguladores y hacer pública la noticia, ahora se acusa a Uber de ocultar la infracción.

¿Lo que realmente pasó?

Los informes indican que en 2016, dos piratas informáticos pudieron acceder a un sitio privado de codificación de GitHub que estaban utilizando los ingenieros de software de Uber. Usando los detalles de inicio de sesión obtenidos a través de GitHub, los atacantes pudieron ir a la cuenta de Amazon Web Services que manejaba las tareas informáticas de la empresa y acceder a un archivo de información de pasajeros y conductores. Se cree que esta información fue robada por los piratas informáticos, y luego se informa que los piratas informáticos enviaron un correo electrónico a Uber pidiendo dinero.

piratas informáticos pagados

Casi tan impactante como que Uber guardó silencio sobre la violación durante 2 años o más es su decisión informada de pagar a los piratas informáticos $ 100,000 para eliminar su copia de los datos y guardar silencio sobre la violación. En el momento del hackeo, en noviembre de 2016, Uber estaba negociando con los reguladores de EE. UU. (Comisión Federal de Comercio) que estaban investigando reclamos separados de violaciones de privacidad por parte de la empresa y Uber acababa de resolver una demanda con el fiscal general de Nueva York sobre divulgaciones de seguridad de datos. .

Kalanick y Sullivan

Se informa que el ex director ejecutivo de Uber, Travis Kalanick, quien fue despedido del cargo a principios de este año (pero permaneció en la junta), supo sobre la violación un mes después de que ocurriera.

Joe Sullivan, jefe de seguridad saliente, también parece estar un poco en el marco sobre cómo se manejó el ataque, ya que solo cuando la junta de Uber encargó una investigación sobre las actividades del equipo de seguridad de Sullivan (por un bufete de abogados externo) que el ataque y se descubrió la falta de divulgación.

¿Qué tipo de datos fueron robados?

Los informes indican que dentro de los 57 millones de nombres, direcciones de correo electrónico y números de teléfonos móviles robados, 600,000 conductores tenían sus nombres y detalles de licencia / números de licencia de conducir expuestos. Esto ha llevado a que a los conductores ahora se les ofrezca protección gratuita de monitoreo de crédito.

Nuestra Historia

Desafortunadamente, esta no es la primera vez que se descubre una mala práctica en la forma en que Uber maneja los datos. Por ejemplo, EE. UU. ha abierto al menos cinco investigaciones penales sobre las actividades de la empresa en torno a los datos, lo que se suma a las múltiples demandas civiles a las que se enfrenta la empresa. El gobierno del Reino Unido también ha considerado prohibir el servicio por presunto comportamiento imprudente (perdiendo así su licencia de Londres en septiembre).

¿Qué significa esto para tu negocio?

La forma en que las empresas almacenan y manejan los datos es, en la sociedad actual, importante para los consumidores y los gobiernos. La introducción del RGPD el próximo año y las sanciones potencialmente severas para las empresas/organizaciones que no cumplan es una prueba de cómo Europa y el Reino Unido están decididos a obligar a las empresas/organizaciones a ser más responsables, transparentes y seguir prácticas que garanticen una mayor seguridad. . Si las empresas realmente quieren destruir su reputación y su marca y corren el riesgo de ser cerradas, hay pocas maneras mejores que [a] tener una violación de datos significativa (o ser un delincuente reincidente) y [b] no revelar esa violación hasta que se ven obligados a hacerlo. para hacerlo

Uber se une a una línea de empresas conocidas que han sido noticia por todas las razones equivocadas en lo que respecta al manejo de datos, por ejemplo, la violación de datos de Yahoo de las cuentas de 500 millones de usuarios en 2014, seguida del descubrimiento de que fue objeto de la mayor violación de datos. en la historia en 2013. Similar al episodio de Uber es el hackeo de Equifax donde se robaron 143 millones de detalles de clientes (44 millones posiblemente de clientes del Reino Unido), mientras que la compañía esperó 40 días antes de informar al público y tres altos ejecutivos vendieron sus acciones por valor de casi 1.4 millones de libras esterlinas antes de que se anunciara públicamente la infracción.

Esta historia debería ayudar a recordar a las empresas lo importante que es invertir para mantener los sistemas de seguridad actualizados y mantener la resiliencia cibernética en todos los niveles. Esto podría implicar mantenerse al día con los parches (9 de cada 10 empresas pirateadas se vieron comprometidas a través de vulnerabilidades sin parches), y debería extenderse a capacitar a los empleados en prácticas de seguridad cibernética y adoptar defensas de múltiples capas que van más allá de las tradicionales anti- perímetro antivirus y cortafuegos.

Las empresas deben realizar auditorías de seguridad para asegurarse de que no se almacenen datos antiguos y aislados en sistemas o plataformas antiguos, y que ninguna ruta al estilo de GitHub ofrezca un acceso fácil a los ciberdelincuentes. Es posible que ahora las empresas necesiten utilizar herramientas que permitan que los dispositivos de seguridad recopilen y compartan datos y coordinen una respuesta unificada en toda la red distribuida.

El comportamiento informado de Uber es claramente deficiente y es probable que inflija aún más daño a la reputación y la marca de la empresa. El truco también es un recordatorio para que las empresas mantengan actualizados y viables los Planes de Continuidad del Negocio y Recuperación ante Desastres.