Uber pagó 100.000 dólares a los ciberdelincuentes para que eliminaran la información.
Uber fue víctima de un hackeo en el que se robaron los datos personales de 57 millones de clientes y conductores de la plataforma. El ataque fue perpetrado el pasado mes de octubre de 2016, pero la compañía ocultó la información, la cual no ha sido revelada hasta este martes 21 de noviembre.
Los datos comprometidos incluyen nombres, direcciones de correo electrónico y números de teléfono de 50 millones de usuarios, así como información personal de unos 7 millones de conductores como 600.000 licencias procedentes de Estados Unidos, informó Bloomberg.
Los ciberdelincuentes consiguieron acceder al sistema de Uber con las credenciales de acceso de ingenieros de software de la plataforma, las cuales fueron utilizadas para entrar en una cuenta de Amazon Web Services. En la página encontraron archivos de información de usuarios y conductores, lo que les motivó a pedir dinero a la compañía.
En lugar de informar sobre el ataque cibernético, Uber decidió pagar a los piratas informáticos 100.000 dólares para eliminar los datos robados y guardar el hackeo en secreto. La compañía no ha revelado los nombres de los ciberdelincuentes, pero sostiene que no se llegó a utilizar la información extraída.
Travis Kalanick, antiguo CEO de la compañía, fue consciente del ataque desde el pasado mes de noviembre de 2016. Sin embargo, decidió ocultar el incidente porque en ese momento la empresa se encontraba en conversaciones con autoridades estadounidenses sobre el manejo de los datos de los consumidores y decidió ocultar el incidente.
Este ha sido el último escándalo que ha azotado a la compañía mientras Kalanick era CEO y que ha sido heredado por el nuevo director, Dara Khosrowshahi, quien afirmó en un comunicado que nada de esto debería haber sucedido y que no hay excusas que puedan justificar el silencio de Uber. "Estamos cambiando la forma en que hacemos negocios", añadió.
El servicio de transporte privado estaba obligado legalmente a informar sobre el hackeo, algo que no llegó a cumplir. Sin embargo, Khosrowshahi explicó en el comunicado que en el momento del incidente se tomaron medidas inmediatas para proteger los datos y evitar el acceso de los ciberdelincuentes a los datos de la compañía.
También implementamos medidas de seguridad para restringir el acceso y fortalecer los controles en nuestras cuentas de almacenamiento basadas en la nube.
Joe Sullivan, jefe de seguridad, fue el eje central durante la toma de decisiones en la que se concluyó que lo más adecuado sería no informar del ataque. El CEO de Uber ha pedido la renuncia de Sullivan y ha despedido a Craig Clark, un abogado que asesoró al jefe de seguridad.
Asimismo, Uber contrató al ex asesor general de la Agencia de Seguridad Nacional y director del Centro Nacional Contra el Terrorismo, Matt Olsen, para que les asesore en el caso. Por otro lado, la compañía contará con la ayuda de la firma de ciberseguridad Mediant para que investiguen el hackeo de octubre de 2016.
Estas iniciativas forman parte de los esfuerzos de Dara Khosrowshahi por arreglar el error que cometieron hace más de un año. En su comunicado, destacó que "si bien no puedo borrar el pasado, puedo comprometerme en nombre de cada empleado de Uber que aprenderemos de nuestros errores".