Uber, ha mostrado su costado más débil, la seguridad

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Uber está en los titulares una vez más, esta vez por ocultar una brecha de datos del año pasado que expuso datos personales de 57 millones de clientes y conductores.

El martes, Uber anunció que la compañía sufrió una violación masiva de datos en octubre de 2016 que expuso los nombres, direcciones de correo electrónico y números de teléfono de 57 millones de clientes y conductores de Uber junto con números de licencia de conducir de alrededor de 600,000 conductores.

Sin embargo, en lugar de divulgar la violación, la compañía pagó 100.000 dólares de rescates a los dos piratas informáticos que tuvieron acceso a los datos a cambio de mantener el incidente en secreto y borrar la información, según un informe publicado por Bloomberg.

Uber dijo que ninguno de sus propios sistemas fue violado, sino que dos personas ajenas a la empresa accedieron de manera inapropiada y descargaron 57 millones de datos de conductores y usuarios de Uber que se almacenaron en un servicio de terceros basado en la nube.

El ataque cibernético expuso los nombres y números de licencia de conducir de unos 600,000 conductores en los Estados Unidos, y los nombres, correos electrónicos y números de teléfono móvil de alrededor de 57 millones de usuarios de Uber en todo el mundo.

Sin embargo, la compañía dijo que no se tuvo acceso a otros detalles personales, como el historial de ubicaciones del viaje, números de tarjetas de crédito, números de cuentas bancarias, números de seguridad social o fechas de nacimiento.

Según el informe de Bloomberg, el exdirector general de Uber, Travis Kalanick, se enteró del ciberataque en noviembre de 2016, cuando la empresa estaba negociando con la Comisión Federal de Comercio (FTC) sobre un acuerdo de privacidad.

Entonces, la compañía eligió pagarles a los dos hackers $ 100,000 para eliminar la información robada y guardar silencio sobre el incidente y finalmente acordó con el acuerdo de la FTC hace tres meses, sin admitir ningún delito.

Uber Technologies Inc. solo informó a la FTC sobre el incidente de datos de octubre de 2016 durante noviembre de 2017, cuando Bloomberg hizo pública la violación.

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS