Uber, que es famosa por ser la startup más valiosa del mundo, reconoció públicamente hace unas horas que hace un año sufrió un ataque informático que afectó a más de 57 millones de cuentas: de estos, siete millones de conductores y 50 millones de pasajeros, de todo el mundo. Joe Sullivan, quien era el responsable de seguridad de la firma ha sido despedido, por el grave error y por haber mantenido oculto el robo.
Un asunto que resulta casi aún más alarmante que el hecho de que casi 60 millones de personas hayan visto comprometida su información personal y de que la firma lo mantuviera escondido durante 12 largos meses, es que la empresa pagase a los atacantes: concretamente, Uber abonó a los hackers 100.000 dólares para que borrasen la información robada, tal y como publicó Bloomberg, el primer medio en desvelar lo ocurrido.
Parece ser que el gran error que la firma cometió fue el de no cifrar la información de los usuarios, por lo que los hackers sólo tenían que acceder a las credenciales de Amazon Web Services , donde la empresa tiene contratado su almacenamiento para hacer funcionar la aplicación, para poder obtener la información. El ataque se hizo a través de GitHub, una herramienta de programación, que usan los desarrolladores de Uber y se usaron claves de empleados.
Tras conocerse el ciberataque de Uber con el que al menos 57 millones de cuentas y los datos de los usuarios estuvieron completamente a disposición de los hackers, diversas empresas de seguridad han analizado la situación y nos dicen por qué es tan peligroso que se realizase ese pago.
Por un lado, David Emm, analista principal de seguridad de Kaspersky Lab ha explicado que “las consecuencias derivadas de la brecha de datos a gran escala de Uber ponen de relieve la importancia y la necesidad de transparencia y responsabilidad en las empresas.
Sobre el hecho de que la startup pagó 100.000 dólares por borrar la información de los perfiles expuestos, los expertos de Kaspersky se muestran en total desacuerdo con la decisión ya que, dicen, esto establece “un peligroso precedente que incentiva aún más a los ciberdelincuentes”. Cabe mencionar aquí que los ejecutivos de Uber también hicieron parecer que el pago había sido parte de una “recompensa por errores”, una práctica, según The New York Times, común entre las compañías de tecnología en la que se le paga a los piratas informáticos para que ataquen su software con el fin de detectar puntos débiles.
Para Rik Ferguson, vicepresidente de investigación de seguridad de Trend Micro : “no hay duda de que el antiguo equipo de administración y seguridad de Uber no asumió la responsabilidad con sus conductores, con los reguladores, con la justicia y, sobre todo, con sus clientes, y esto es una lista demasiado larga”.
Y
Sin embargo, para Trend Micro sí resulta positivo que el nuevo equipo de gestión aclare la brecha y quiera ser transparente, aunque Rik Ferguson asegura que le preocupan algunas de las palabras que aparecen en el blog de Khosrowshahi. Por ejemplo que parezca “que separa la “infraestructura y sistemas corporativos” de Uber del “servicio de terceros basado en la nube” que fue el objetivo de la brecha. Quizás, esto es un indicativo de la raíz del problema. Los servicios cloud adoptados por una empresa son sistemas corporativos e infraestructura y desde la perspectiva de la seguridad deben ser tratados como tales”.
Ricardo Maté, director general de Sophos Iberia, que este caso es “una muestra más de que es necesario tomarse la ciberseguridad en serio y que nunca se debe incrustar o implementar tokens de acceso (generadores de claves) o claves en repositorios de códigos fuente”. Por lo general, recuerda el experto que este tipo de maniobras no son descubiertas mientras las empresas quieren mantenerlas en secreto, como en el caso de Uber que pagó a los ciberdelincuentes 100.000 dólares para que ocultaran la brecha de seguridad. Y añade que este caso “nos hace ver que hoy en día muchos equipos de desarrolladores no tienen un alto estándar de las prácticas de seguridad y que ha compartido credenciales”. Lamentablemente, estas prácticas son más comunes de lo deseable en entornos de desarrollo ágil.
Además, para aquellos clientes y conductores de Uber que han sido afectados por la brecha de seguridad, Sophos recomienda que comprueben sus cuentas bancarias y mantengan los ojos bien abiertos para no ser víctimas de un robo.
Recuerdan desde Kaspersky que “bajo el nuevo liderazgo de Dara Khosrowshahi como consejero delegado, la empresa ha optado ahora por reconocer el error y asegura que nadie ha hecho uso de esos datos”. El directivo ha amitido que “esto no tendría que haber ocurrido. No hay excusas. Estamos cambiando nuestra forma trabajar” y ha reconocido que tendrían que haber avisado a las autoridades en lugar de ocultar la fuga.
“No podemos borrar el pasado, pero sí puedo comprometerme a aprender de los errores“, zanjó en un comunicado la persona que se contrató tras apartar a Travis Kalanick, creador de la app y quien fuera directivo de una empresa muy cotizada en bolsa y también muy polémica en diferentes aspectos.
Por Anthony Cusimano, Director de Marketing Técnico en Object First.
Solo seis de cada diez organizaciones cuentan con soluciones tecnológicas de prevención del fraude en…
Los equipos de TI se benefician de la simplicidad de despliegue, gestión y la capacidad…
La marca Xerox será visible en el AMR24 en el Gran Premio de Las Vegas.
Yalo observa que la IA es una herramienta transformadora que está cambiando el juego para…
Más de 1 millón de dominios registrados podrían ser vulnerables diariamente