Ciudad de México, a 23 de noviembre de 2017. Según información de Sophos, firma especializada en ciberseguridad, Uber, compañía de transporte privado, sufrió en el 2016 el robo de datos de 57 millones de conductores y clientes. La empresa no sólo mantuvo esta información en secreto, además le pagó a los delincuentes 100 mil dólares para borrar los datos y guardar silencio.
De acuerdo a información de Bloomberg, los datos comprometidos del ataque realizado en octubre de 2016, incluían nombres, direcciones de correo electrónico y números de teléfono de 50 millones de conductores de Uber alrededor del mundo, así como información personal de cerca de 7 millones de choferes, incluyendo unos 600 mil números de licencias de conducir de los Estados Unidos. No se tomaron números de seguro social, información de tarjeta de crédito, detalles de ubicación de viaje u otros datos.
Al parecer, los programadores de Uber subieron las credenciales de seguridad a GitHub, un lugar donde se puede almacenar código fuente, donde los criminales encontraron la mina de oro. A partir de ahí, los ladrones fueron capaces de entrar en los servidores de Uber alojados en Amazon y pudieron acceder a la información personal que robaron.
Uber sufrió una brecha similar hace poco más de tres años, un caso que fue descubierto en mayo de 2014, pero que fue revelado hasta febrero de 2015.
Como se mencionó anteriormente, los hackers adquirieron los detalles de las licencias de conducir, lo que significa que Uber ciertamente debería haber declarado la brecha con prontitud, ya que los datos sensibles estaban involucrados.
Para Sophos, la declaración de Uber acerca de que los detalles de los clientes, datos de las tarjetas de crédito y números de seguro social no estaban involucrados en el atraco, es un intento de suavizar la situación.
¿Qué hacer?
Todavía hay mucha información desconocida sobre esta historia, por lo que la única recomendación sensata que puede hacer Sophos a los clientes de Uber es: “mantén los ojos abiertos para lo que venga” y a los programadores: “¡GitHub es para código, no para llaves de seguridad!”
Chet Wisniwewski, Senior Security Advisor en Sophos, declaró:
La brecha de Uber demuestra una vez más que los desarrolladores necesitan tomar la seguridad en serio y nunca incrustar o desplegar tokens de acceso y claves en los repositorios de código fuente. Yo diría que este caso se siente como un déjà vu, pero por lo general las organizaciones no son descubiertas mientras participan activamente en un tapar el problema. Dejando de lado el drama y los impactos potenciales de la próxima aplicación de GDPR en Europa, este es sólo otro equipo de desarrolladores descuidados con credenciales compartidas y prácticas de seguridad deficientes. Lamentablemente, esto es común con más frecuencia en entornos de desarrollo “ágiles”, especialmente en las startups tecnológicas de alto crecimiento.
Oh, y si usted sufre una brecha, haga lo correcto: informar rápidamente, no sólo porque en muchos países la ley requiere que lo haga, sino porque es lo más decente que puede hacer.
Y, por el amor de Dios, publique algo en su sitio web para informar a los clientes lo que usted sabe hasta ahora; Qué información adicional está tratando de descubrir y cuándo espera proporcionar la próxima actualización.
James Lyne, Cyber Security Advisor en Sophos, comentó:
“Uber no es la única ni la última empresa que esconderá una fuga de datos o ciberataque. Ocultar esto pone en un mayor riesgo a sus clientes de sufrir un fraude. Justo por este escenario es que los países están estableciendo regulaciones sobre la revelación obligatoria de pérdida y robo de datos”.