Uber ocultó una brecha que expuso datos de 57 millones de personas

El pasado mes de octubre de 2016, Uber sufrió un ataque que hizo que los datos de 57 millones de personas, tanto de conductores como de usuarios del servicio, quedasen al descubierto y fuesen robados por varios hackers. Pero no se ha hecho público hasta ahora porque, según Bloomberg, en la empresa ocultaron esta brecha de seguridad.

Al parecer, incluso su CEO de entonces, Travis Kalanick, conocía los hechos. Pero decidió ocultarlo. Como hizo el Responsable de seguridad de la compañía, Joe Sullivan, así como uno de sus ayudantes, que además pagaron 100.000 dólares a los atacantes para que eliminasen los datos que habían conseguido. Ambos han sido despedidos esta misma semana, cuando la información ha salido a la luz.

Entre los datos que fueron robados figuran nombres, direcciones de correo electrónico y números de teléfono de 50 millones de clientes de Uber de todo el mundo. También los de 7 millones de conductores, con los números de los carnets de conducir de unos 600.000 conductores estadounidenses. No se filtró más información, por lo que los números de la seguridad social, la información de las tarjetas bancarias, los detalles de los recorridos de los viajes y otras informaciones están a salvo.

Cuando se produjo el incidente, Uber negociaba con los reguladores estadounidenses la investigación de varias reclamaciones distintas sobre violación de la privacidad. Y tenía que haber informado del ataque a los conductores cuyos números de carnet de conducir habían sido robados. También debió haberlo comunicado a las entidades reguladoras correspondientes. En vez de eso, pagó para que se eliminasen los datos filtrados. Tras hacerse público el ataque, el Fiscal general de Nueva York, Eric Schneiderman, ha abierto una investigación del hackeo.

Kalanick, entonces CEO de Uber, dimitió de su cargo al mes siguiente del ataque, en noviembre de 2016. Según The Verge, Dara Khosrowshahi, que le ha sustituido en el puesto, ha declarado al respecto del incidente que «en el momento del incidente, tomamos medidas inmediatas para securizar los datos e impedir más accesos no autorizados por los individuos (atacantes). Además, implementamos medidas de seguridad para restringir el acceso y para reforzar los controles de nuestras cuentas de almacenamiento basadas en la nube. Aunque no puedo borrar el pasado, puesto prometer, en nombre de cada trabajador de Uber, que aprenderemos de nuestros errores«.