Uber, cuando la inseguridad no te lleva a ningún lado

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

En noviembre de 2017, el servicio de paseo Uber reveló que la información personal de 57 millones de clientes y conductores de Uber en todo el mundo había sido robada.

De acuerdo con The Guardian, Uber había ocultado previamente la violación y les pagó a los cibercriminales aproximadamente $ 100,000. dólares para borrar los datos y guardar silencio.

Por lo que hemos podido averiguar aparentemente la violación fue el resultado de las credenciales que quedaron en un repositorio de GitHub, al que accedieron los atacantes al comprometer la cuenta de un desarrollador.

Los repositorios de código deben estar adecuadamente protegidos, siempre.

Asegúrese de que las credenciales nunca se dejen en el código o en los repositorios, y asegúrese de que todos los usuarios estén aprovechando la autenticación de múltiples factores y estén usando contraseñas únicas para cada sistema y servicio.

Además, es vital que esos repositorios sean auditados antes de hacerse públicos. Cualquier información sensible, como contraseñas y claves privadas SSH, debe limpiarse del código. Con demasiada frecuencia, los comentarios quedan en el código que revelan información confidencial. Los permisos también deben revisarse con frecuencia y auditarse para garantizar la seguridad, incluidos los repositorios privados.

Más allá de asegurar la información vulnerable, la comunicación es clave.

Uber trató de pasar la brecha por debajo de la alfombra, pero hacer que sus clientes estén al tanto de una brecha lo antes posible hubiese sido la mejor respuesta.

Esto será crítico cuando el Reglamento General de Protección de Datos se vuelva ejecutable.

Según el reglamento, las organizaciones se deben notificar del incumplimiento a las autoridades de supervisión pertinentes y las partes afectadas dentro de las 72 horas de su descubrimiento, ya que si no lo hace podría resultar en multas de hasta 20 millones de euros o 4% de los ingresos mundiales, lo que sea mayor.

 

 

 

Por Josep Verdura – Analista de Seguridad de Vintegris