Uber ocultó que los datos de 57 millones de usuarios fueron pirateados
El director general de Uber, Dara Khosrowshahi, reveló este martes que los datos de 57 millones de usuarios de todo el mundo fueron pirateados a finales de 2016. Una información que la compañía no había comunicado hasta ahora ni a los clientes afectados ni a organismos reguladores. Las identidades de los usuarios, sus direcciones de correo electrónico y sus números de teléfono móvil fueron sustraídos en el ataque, según ha reconocido la compañía en una declaración. Además, los ficheros comprometidos contenían también datos de 600.000 conductores de Estados Unidos, incluyendo nombres y números de matrícula.
No obstante, citando el asesoramiento de expertos independientes, el responsable de Uber afirmó que los números de tarjeta y las cuentas bancarias, así como los números de la seguridad social y las fechas de nacimiento de los usuarios, no habrían sido comprometidos. Khosrowshahi, que fue nombrado a la cabeza de Uber a finales de agosto, afirmó haber obtenido garantías de que los datos descargados habían sido destruidos. El director general también aseguró haber tenido conocimiento del incidente “recientemente” y señaló que los responsables del ataque fueron dos personas ajenas a la empresa.
Data Breach
Según Khosrowshahi, los criminales habrían descargado una base de datos de servidores usados por Uber y “el incidente no llegó a los sistemas o infraestructura de la empresa”. El ataque fue ocultado y Uber pagó a los hackers 100.000 dólares (unos 85.000 euros) para evitar que la información saliera a la luz. El descubrimiento de este ataque ha provocado la salida de la empresa dos empleados que habían sido asignados a la gestión del incidente desde su descubrimiento. “Nada de esto debería haber sucedido y no voy a poner excusas”, afirmó Dara Khosrowshahi. “Aunque no puedo borrar el pasado, puedo comprometerme en nombre de todos los empleados de Uber que aprenderemos de nuestros errores”, añadió.
Posibles consecuencias penales
De acuerdo con la legislación vigente en Estados Unidos el hecho de no haber notificado la amenaza a sus usuarios deja a la empresa expuesta a acciones legales. La fiscalía de Nueva York ya ha confirmado la apertura de una investigación sobre el incidente. Este ciberataque es el último de una larga serie en Estados Unidos. A principios de septiembre Equifax, firma encargada de la recuperación y análisis los datos personales de clientes que solicitan créditos bancarios, reveló una intrusión en sus bases de datos que duró desde mediados de mayo hasta finales de julio, comprometiendo la información personal de más de 145 millones de clientes. Yahoo, MySpace, Target Corp o la aseguradora Anthem Inc también han sido víctimas de grandes ataques.
Controversias
Por otra parte, el incidente se suma a una serie de controversias en torno a Uber. Además de acusaciones de acoso sexual, de robo de tecnología o corrupción, el diario New York Times expuso el pasado marzo la utilización de un programa puesto en marcha por la compañía, basado en una herramienta informática -llamada Greyball-, que utilizaría datos recopilados por la aplicación para evitar sanciones de las autoridades. Estos hechos llevaron en septiembre a la ciudad de Londres a tomar la decisión de no renovar la licencia de la empresa.
El robo de datos no para de crecer
Como informábamos en un post anterior, en la primera mitad de 2017 se sustrajeron o filtraron más registros de datos que durante todo 2016. Las 918 brechas de seguridad registradas por el Breach Level Index de Gemalto provocaron el robo de casi 2.000 millones de registros, lo cual supone un 164% más que las cifras correspondientes a todo el año pasado. Para evitar estar en esa tesitura, es esencial ser consciente de la importancia de implantar medidas y políticas de seguridad efectivas.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
