Uber pagó $ 100K a piratas informáticos para encubrir una violación masiva de datos
Publicado: 2017-11-22Como parte de la filtración que tuvo lugar el año pasado, se accedió ilegalmente a los datos de 57 millones de pasajeros y conductores de Uber
En un mundo donde se consumen diariamente más de 2,5 quintillones de bytes de datos a través de correos electrónicos, videos, imágenes, tweets y contenido, la infracción de una forma u otra es inevitable. Cuando ocurre una brecha de seguridad, la responsabilidad recae en la empresa/plataforma infiltrada para alertar a los clientes y las agencias gubernamentales. Aquí es donde Uber ha fallado rotundamente.
Según los informes que surgieron esta semana, el gigante mundial de viajes compartidos sufrió una violación masiva en octubre de 2016, en la que se accedió ilegalmente a los datos de más de 57 millones de conductores y clientes . En lugar de denunciar la infracción a las autoridades, Uber optó por mantener el hackeo en secreto durante más de un año, llegando incluso a pagar 100.000 dólares a los atacantes por su silencio .
Los informes del ataque cibernético finalmente surgieron cuando el agregador de taxis expulsó a su director de seguridad y a algunas otras personas involucradas en el encubrimiento, a principios de esta semana.
En respuesta a la controversia, el nuevo CEO de la compañía, Dara Khosrowshahi , declaró: “Nada de esto debería haber sucedido, y no lo excusaré. Estamos cambiando la forma en que hacemos negocios. Si bien no puedo borrar el pasado, puedo comprometerme en nombre de cada empleado de Uber de que aprenderemos de nuestros errores”.
Curiosamente, esta no es la primera vez que se accede a los detalles privados de los conductores y clientes de Uber. En 2015, el agregador de taxis filtró accidentalmente información personal de cientos de sus conductores a través de una aplicación recién lanzada llamada "Uber Partner". Se hicieron públicos detalles como números de seguro social, escaneos de licencias de conducir y formularios de impuestos.
¿Qué pasó exactamente en octubre pasado?
Como parte de la violación que tuvo lugar en octubre del año pasado, los atacantes obtuvieron acceso a los nombres, direcciones de correo electrónico y números de teléfono de más de 50 millones de usuarios de Uber de todo el mundo. Además, se hackearon los datos personales de hasta 7 millones de conductores , incluidos 600 000 solo en EE. UU., según revelaron las fuentes.
Entonces, ¿cómo ocurrió exactamente la violación? Como lo narró Bloomberg en un informe reciente, dos atacantes lograron ingresar a un lado de codificación de GitHub utilizado por los ingenieros de Uber y recuperar credenciales de inicio de sesión auténticas, que luego usaron para acceder a datos privados almacenados en una de las cuentas de AWS de la empresa.
La cuenta, según las fuentes, estaba siendo utilizada por el equipo de ingeniería del agregador de taxis para manejar varias tareas informáticas. A través de la cuenta, los piratas informáticos obtuvieron un extenso archivo de datos de pasajeros y conductores. Armados con estos detalles, el dúo supuestamente chantajeó a la compañía por dinero.
En lugar de informar a las autoridades sobre la violación, Uber decidió tomar el asunto en sus propias manos. Si bien pagar una suma global para comprar el silencio de los atacantes fue probablemente su primer plan de acción, la empresa afirmó que había tomado medidas para revertir la violación.
Khosrowshahi agregó: “En el momento del incidente, tomamos medidas inmediatas para proteger los datos y cerrar el acceso no autorizado por parte de las personas. También implementamos medidas de seguridad para restringir el acceso y fortalecer los controles en nuestras cuentas de almacenamiento basadas en la nube”.
Sin embargo, la información pirateada probablemente nunca se usó, afirmó el director ejecutivo Dara Khosrowshahi.
Recomendado para ti:
Cómo Metaverse transformará la industria automotriz india
¿Qué significa la disposición contra la especulación para las nuevas empresas indias?
Cómo las empresas emergentes de Edtech están ayudando a la fuerza laboral de la India a mejorar y prepararse para el futuro...
Acciones tecnológicas de la nueva era esta semana: los problemas de Zomato continúan, EaseMyTrip publica...
Startups indias toman atajos en busca de financiación
La plataforma de marketing digital Logicserve obtiene fondos de INR 80 Cr, cambia de marca como LS Dig...
Entonces, ¿por qué Uber encubrió la brecha en primer lugar?
Para comprender por qué Uber optó por mantener la brecha en secreto, en lugar de tratarla de manera transparente, debemos profundizar más. Curiosamente, el incidente ocurrió en un momento en que la plataforma de viajes compartidos ya estaba envuelta en una investigación por presuntas violaciones de la privacidad.
El entonces CEO de Uber, Travis Kalanick, fue informado del ataque más tarde en noviembre de 2016. Como relata Bloomberg en su informe, el agregador de taxis acababa de resolver una demanda en Nueva York por divulgaciones de seguridad de datos y estaba involucrado en negociaciones con Federal Trade. Comisión sobre medidas de seguridad en el tratamiento de datos de consumidores.
Las acciones cuestionables tomadas después de la violación fueron realizadas en gran parte por el ahora destituido Jefe de Seguridad, Joe Sullivan. Casi once meses después del ataque, la junta directiva de Uber encargó a un bufete de abogados externo que iniciara una investigación sobre todo el episodio. El mal manejo de la crisis por parte de Sullivan y la falta de divulgación se descubrieron el mes pasado.
Tras la publicación de la declaración de Uber ayer, el fiscal general de Nueva York, Eric Schneiderman, ordenó una nueva investigación sobre el ciberataque. Mientras tanto, el gigante de los viajes privados también ha sido demandado por un cliente por cargos de negligencia.
Uber: un legado problemático que no desaparecerá
Fundada en agosto de 2008 por Travis Kalanick y Garrett Camp, la compañía con sede en San Francisco se encuentra actualmente en proceso de recaudar la asombrosa cantidad de $10 mil millones de Softbank y un puñado de otros inversionistas. Aunque está valorado en más de 70.000 millones de dólares, su recorrido durante los últimos nueve años ha sido espectacular. Enero de 2017 comenzó con Uber enfrentando una campaña social #DeleteUber después de que se percibiera incorrectamente como un intento de romper una huelga de taxis de una hora en el aeropuerto JFK.
Más tarde despertó la ira de los usuarios después de que Donald Trump firmara una orden ejecutiva sobre la prohibición de inmigración para los refugiados sirios y bloqueara la entrada de ciudadanos de siete países predominantemente musulmanes. En ese momento, Travis Kalanick de Uber estaba en el consejo asesor empresarial de Trump y esto condujo a la extensión de #DeleteUber.
En febrero, la exingeniera de Uber, Susan Fowler, reveló acusaciones de acoso sexual y sexismo en una publicación de blog sobre su año en Uber. El mismo mes, Waymo, una compañía de autos sin conductor escindida de Google, demandó a Uber alegando que Anthony Levandowski, un ex alto gerente del proyecto de auto sin conductor de Google, robó tecnología fundamental de Google antes de irse a operar el auto sin conductor de Uber. división.
Tras todas estas acusaciones, Travis Kalanick renunció como director ejecutivo bajo la presión de los inversores el 20 de junio, en medio de la presión de otros accionistas. Desde entonces, Kalanick también ha sido demandado por los primeros inversores Benchmark Capital, así como por el Fondo de Retiro y Alivio de los Bomberos de Irving, acusándolo de fraude, incumplimiento de contrato e incumplimiento del deber fiduciario.
Más tarde en agosto, Uber encontró a su nuevo capitán en Dara Khosrowshahi. En septiembre, el agregador de taxis volvió a ser noticia cuando fue prohibido en Londres. Cuando surgió originalmente la noticia de que la autoridad de transporte de Londres no renovaría la licencia de Uber para operar en la ciudad, Khosrowshahi dijo en una carta abierta: “En nombre de todos en Uber a nivel mundial, me disculpo por los errores que hemos cometido. ” Desde entonces, Uber presentó una apelación ante Transport for London para revertir la prohibición y espera comenzar a operar en la ciudad pronto.
Las cosas se ven más brillantes en el mercado indio
A finales de 2016, los ingresos netos de Uber alcanzaron los 6500 millones de dólares; una cifra impresionante si no tenemos en cuenta las pérdidas de 2800 millones de dólares que sufrió durante el mismo período. En el caso de India, los ingresos totales informados en FY15 fueron solo $ 3 Mn (INR 18.7 Cr) superiores a las pérdidas incurridas.
Sin embargo, desde que vendió sus operaciones chinas a Didi Chuxing, con sede en Beijing, y se fusionó con Yandex en Rusia, Uber ha comenzado a centrar sus esfuerzos en capturar el mercado indio, que actualmente está poblado por gigantes locales como Ola y asociaciones de taxis tradicionales. El año pasado, por ejemplo, prometió infundir una parte sustancial de los 3.500 millones de dólares que recaudó del Fondo de Inversión Pública de Arabia Saudita en Uber India.
En julio de este año, la compañía invirtió $ 7,99 millones (INR 51,64 Cr) en Uber India según los documentos presentados ante el Registro de Empresas. Esta infusión ocurrió en mayo de 2017 según los registros de la empresa ante la MCA. El monto se transfirió de las subsidiarias de la compañía en los Países Bajos, incluidas Uber Holdings International BV, Uber International BV, Besitz Holding BV y Mieten BV.
Desde junio de 2016, la presencia de la empresa en India ha crecido 2,5 veces en términos de número de viajes y volumen total de mercancías, según afirmó el jefe de Uber India, Amit Jain, en una entrevista con Livemint. Para solidificar su presencia en India, la startup de taxis comenzó la prueba piloto de UberPASS en ciudades metropolitanas seleccionadas, gracias a las cuales los taxistas ahora pueden aprovechar tarifas con descuento y una variedad de beneficios exclusivos. Esto incluye elegir a los conductores mejor calificados, exención de cargos por cancelación, acceso exclusivo a productos y funciones premium y más.
También ha incursionado en la entrega de alimentos con el servicio UberEATS, que brinda a los restaurantes locales una opción de entrega. La compañía también afirma que ha designado a cientos de socios de entrega para que UberEATS sea un éxito. Mientras tanto, el primer ministro Narendra Modi planea asociarse con empresas de taxis compartidos, incluida Uber, en un intento por reducir la congestión del tráfico. La prueba de tres meses permitirá al gobierno acceder a formas de reducir la propiedad de automóviles privados en el país.
En julio, la división india de la empresa de transporte compartido anunció la integración de la Interfaz de pago unificado (UPI) en su plataforma. La instalación se integró para permitir que los pasajeros que ya tienen direcciones de pago virtuales para transacciones UPI paguen sus viajes utilizando la plataforma de pago de banco a banco.
Nos guste o no, las filtraciones de datos son algo común en la actualidad. Grandes jugadores como Yahoo, MySpace, Target Corp, Anthem Inc y Equifax Inc han sufrido violaciones de seguridad de algún tipo en los últimos tiempos. Sin embargo, eso no justifica la decisión de Uber de encubrir una infracción de esa escala. En un año que ha estado plagado de controversias y contratiempos, ¿podría ser este el último clavo en el ataúd en el que se mete Uber?