Uber sufre ataque informático; asegura que no comprometió datos sensibles de personas usuarias

Sep 26, 2022 | Privacidad

El pasado 15 de septiembre, Uber sufrió un ataque a sus sistemas informáticos que permitió a un grupo de hackers acceder a información y herramientas internas como Slack, según dio a conocer el medio The New York Times.

La empresa ha señalado al colectivo Lapsus$ como probable responsable. De acuerdo con un reporte de la compañía retomado por el diario francés Le Monde, la intrusión se dio a través de un ataque a un contratista externo. Según Uber, es posible que los atacantes hayan adquirido la contraseña del contratista en la dark web, y que hayan logrado superar la verificación de dos pasos a través de una validación por error por parte de la víctima.

Una vez dentro del sistema de Uber, el grupo atacó las cuentas de otros usuarios de la compañía hasta obtener suficientes permisos para acceder a otros recursos de la empresa, incluyendo el servicio interno de Slack y la plataforma de G-Suite.

En los primeros días después del hackeo, el medio Bleeping Computer aseguró haber estado en contacto con los atacantes, quienes afirmaban haber tenido acceso a los reportes de vulnerabilidades de Uber. La compañía confirmó que los intrusos lograron entrar al panel de control de HackerOne ─la plataforma interna que usan para reportes de fallos─, pero que cualquier informe al que accedieron ya había sido previamente procesado, por lo que no pudieron descubrir ninguna vulnerabilidad inédita.

Uber insistió en que la información de las personas usuarias no fue afectada por el ataque y que el equipo de seguridad ha tomado medidas para asegurarse que el grupo ya no tiene acceso a sus sistemas.

“No hemos detectado que los atacantes hayan tenido acceso a los sistemas de producción que impulsan nuestras apps; ninguna cuenta de usuario o las bases de datos que usamos para almacenar información sensibles, como números de tarjetas de crédito, información bancaria o historiales de viaje”, mencionó la empresa, aunque indicó que la investigación “se encuentra todavía activa”.

Uber tiene un historial negativo en el manejo de ataques informáticos y robo de información. En 2016, la empresa intentó ocultar un ataque que comprometió los datos de 57 millones de usuarios, por lo que tuvo que pagar una multa de 148 millones de dólares. En esa ocasión, los datos de cerca de 900 mil personas usuarias de México resultaron comprometidos.


Imagen (CC BY) Gibrán Aquino

Publicaciones relacionadas

Organizaciones presentan Protocolo Modelo contra acoso y hostigamiento sexual y laboral

Organizaciones presentan Protocolo Modelo contra acoso y hostigamiento sexual y laboral

El Protocolo Modelo de Prevención y Actuación en Casos de Discriminación, Acoso y Hostigamiento Sexual y Laboral (Protocolo Modelo) en Organizaciones de la Sociedad Civil es resultado del trabajo de un año entre ocho instituciones (Fundar, Artículo 19, la Red en Defensa de los Derechos Digitales, Ambulante, Serapaz, Instituto de Liderazgo Simone de Beauvoir, Equis Justicia para las Mujeres y Fondo Semillas) que se articularon para crear de “manera participativa y colectiva” para todo el sector.

¿Ciberseguridad para quién?: R3D cuestiona ausencia de sociedad civil en discusión sobre Ley de Ciberseguridad

¿Ciberseguridad para quién?: R3D cuestiona ausencia de sociedad civil en discusión sobre Ley de Ciberseguridad

“El proceso de elaboración de una ley de ciberseguridad no ha contemplado la participación equitativa de todos los actores”, señaló Grecia Macías, abogada de R3D: Red en Defensa de los Derechos Digitales, durante la sesión de Parlamento Abierto convocada el lunes 31 de octubre por la Comisión de Ciencia, Tecnología e Innovación de la Cámara de Diputados.