Post Format

Uber pago a hackers para que no revelaran la infiltración de información privada de 57 millones de usuarios.

Leave a Reply

Por ahora, el nombre Uber se ha convertido prácticamente en sinónimo de escándalo. Pero esta vez la compañía se ha superado a sí misma, construyendo una torre de escándalos al estilo de Jenga sobre escándalos que ahora solo han estallado.

El servicio de viaje compartido no solo perdió el control de la información privada de 57 millones de personas, también ocultó esa violación masiva durante más de un año, un encubrimiento que potencialmente desafió las leyes de divulgación de violaciones de datos.

Uber puede incluso haber engañado activamente a los investigadores de la Comisión Federal de Comercio que ya estaban investigando la empresa para detectar una violación de datos distinta y anterior.

El martes, Uber reveló en un comunicado del recientemente instalado gerente Dara Khosrowshahi, que los hackers robaron una serie de datos personales de la red de la compañía en octubre de 2016, incluidos los nombres y la licencia de 600,000 conductores, y peor aún, los nombres, direcciones de correo electrónico, y números de teléfono de 57 millones de usuarios de Uber.

Mala respuesta.

Por mala que sea la debacle de datos, la respuesta de Uber puede terminar causando el mayor daño a la relación de la compañía con los usuarios, y tal vez salga expuesta a cargos criminales contra ejecutivos, de acuerdo con aquellos que han seguido los continuos problemas de la FTC.

Según Bloomberg, que originalmente dio la noticia de la violación, Uber pagó un rescate de $ 100,000 a sus piratas informáticos para mantener la brecha en silencio y eliminar los datos que habían robado.

Luego no divulgó el ataque al público, violando potencialmente las leyes de divulgación de infracciones en muchos de los estados donde residen sus usuarios, y también mantuvo el robo de datos en secreto de la FTC.

«Si Uber lo supo y lo ocultó, y no se lo comunicó a la FTC, eso conduce a todo tipo de problemas, incluida la responsabilidad penal», dice William McGeveran, un profesor de derecho enfocado en la privacidad de datos de la Facultad de Derecho de la Universidad de Minnesota. «Si eso es cierto,  podría significar una declaración falsa para los investigadores. No se puede mentir a los investigadores en el proceso de llegar a un acuerdo con ellos».

El Hack

Según Bloomberg, la violación de Uber en 2016 ocurrió cuando los hackers descubrieron que los desarrolladores de la compañía habían publicado un código que incluía sus nombres de usuario y contraseñas en una cuenta privada del repositorio de software Github.

Esas credenciales dieron a los piratas informáticos acceso inmediato a las cuentas privilegiadas de los desarrolladores en la red de Uber, y con ello, acceso a servidores Uber sensibles alojados en los servidores de Amazon, incluidos los datos de los conductores que robaron.

Aunque no está claro cómo los hackers accedieron a la cuenta privada de Github, el error inicial de compartir credenciales en el código de Github no es único, dice Jeremiah Grossman, un investigador de seguridad web y estratega de seguridad principal de la firma de seguridad SentinelOne.

Los programadores a menudo agregan credenciales al código para permitir accesos automatizados a datos o servicios privilegiados, y luego no pueden restringir cómo y dónde comparten ese software cargado de credenciales.

«Esto es muy común en Github. No es un entorno indulgente», dice Grossman. Él está mucho más sorprendido por los informes del encubrimiento posterior de Uber. «Todo el mundo comete errores. Es la forma en que respondes a esos errores que te mete en problemas».

Quién está afectado

El recuento de Uber de 57 millones de usuarios cubre una franja significativa de su base total de usuarios, que llegó a 40 millones de usuarios mensuales el año pasado. La compañía no ha notificado a los usuarios afectados, escribiendo en su declaración que «no ha visto evidencia de fraude o mal uso relacionado con el incidente», y que ha marcado las cuentas afectadas para protección adicional.

En cuanto a los 600,000 conductores cuya información se incluyó en la infracción, Uber dice que se está contactando ahora y que ofrece monitoreo de crédito gratuito y protección contra robo de identidad.

¿Qué tan serio es esto?

Las filtraciones masivas de nombres, números de teléfono y direcciones de correo electrónico representan datos valiosos para estafadores y spammers, que pueden combinar esos puntos de datos con otras filtraciones de datos para el robo de identidad o usarlos inmediatamente para el phishing.

Los datos del controlador más sensibles que se filtraron pueden ofrecer aún más información privada útil para que los defraudadores exploten. Todo contribuye a la erosión lúgubre y constante del control de la información personal de una persona promedio.

Pero es Uber, no el usuario promedio, cuyos datos se filtraron lo que puede enfrentar las consecuencias más graves e inmediatas. La compañía ya despidió a su jefe de seguridad, Joe Sullivan, quien anteriormente dirigió la seguridad en Facebook, y antes de eso trabajó como fiscal federal.

Al no divulgar públicamente la violación por más de un año, la compañía probablemente ha violado las leyes de divulgación de violaciones y debería prepararse para fuertes multas en muchos estados donde viven sus usuarios, así como en su estado base California, dice la Universidad de Minnesota.

Persecucion a Uber?

McGeveran de la Facultad de Derecho dice «No me sorprendería ver que los estados persigan a Uber sobre esa base».

Si el encubrimiento incluyó hacer declaraciones falsas a la FTC durante su investigación de la infracción de 2014, aunque fue un incidente separado, podría tener consecuencias aún más graves. Hacer declaraciones falsas a los investigadores de la comisión, señala McGeveran, es una ofensa criminal federal.

«Esto no es solo una charla informal con una taza de té. es un procedimiento de investigación formalizado «, dice McGeveran. «Ya se están haciendo preguntas de investigación por parte de un funcionario del gobierno. No solo conocen la violación, sino que presuntamente están pagando hackers para encubrirla. Supuestamente omiten esta violación de 57 millones de personas por su divulgación a la FTC «.

«Si todo eso es cierto», reitera McGeveran, «eso es enorme».

0

Leave a Reply

Required fields are marked *.