En un comunicado publicado el fin de semana, el gigante de los viajes compartidos, Uber, afirmó que «no hay evidencia de que el incidente [de la violación de su sistema del jueves] haya involucrado el acceso a datos confidenciales del usuario (como el historial de viajes)».
Todos los productos de la compañía, incluído sus servicios de entrega de alimentos Uber Eats, estarían funcionando normalmente.
Lea también: Ciberdelincuente afirma haber robado mil millones de datos de ciudadanos chinos
Uber Technologies, con sede en San Francisco, dijo el jueves estar respondiendo a un incidente de seguridad cibernética. Una violación a su red que habría sido perpetrado por un hacker de 18 años.
Además agregó que la compañía comunicó a la policía para que se llevara a cabo la investigación del incidente. Un incidente que obligó a la empresa a desconectar varios sistemas internos de comunicaciones e ingeniería como «precaución», incluidos los servicios de Amazon Web y la plataforma de Google Cloud.
Según el New York Times , el pirata informático comprometió la cuenta de la aplicación de mensajería Slack que usan los colaboradores de Uber. Luego envío un mensaje a los empleados indicando que la empresa había sufrido una violación de datos.
El hacker habría penetrado en el gigante tecnológico usando una técnica muy conocida y para nada sofisticada: a base de la ingeniería social. Es decir, engañó a uno de los colaboradores de la empresa haciéndose pasar por un trabajador de la industria que le entregó una contraseña que luego le dio acceso a la empresa.
Trás esto activó el sistema de Uber con el que envió notificaciones de múltiples factores al empleado. Estas notificaciones son ventanas emergentes que aparecen en el dispositivo de un empleado y le solicitan que apruebe o rechace el intento de inicio de sesión.
Al principio el empleado no habría autorizado el inicio de sesión, pero el pirata lo contactó por otros medios. Después de una hora de insistencia, el empleado cedió, según una captura de pantalla de una conversación entre el hacker y un experto en ciberseguridad.
Una vez burlado el sistema, el ciberdelincuente obtuvo acceso a otros sistemas internos y publicó una foto «sexual» en una página de información interna para los trabajadores. También enumeró información confidencial de la compañía a la que dijo que había accedido.
En la capturas de pantallas obtenidas por el Washington Post el hacker afirmó tener un amplio acceso dentro de las redes corporativas de Uber. Y parecía indicar que su violación al sistema estaba motivado por el trato que la empresa da a sus conductores, ya que publicó un hashtag dónde decía que Uber paga menos de lo debido a estos trabajadores.
Según los expertos en seguridad, el ciberdelincuente habría tenido acceso al código fuente, correo electrónico y otros sistemas internos de Uber. Y describió la seguridad de la empresa como «horrible».
Lo que demuestra que, incluso, las contraseñas de acceso de factor múltiple, donde además de la contraseña se requiere un código especial que en este caso el mismo pirata envío por un mensaje al celular de la víctima (el empleado), aún son vulnerables a este tipo de ataques.
Una vez dentro el pirata habría tomado los datos del software común utilizado por los empleados para escribir nuevos programas.
Lea también: Un nuevo software malicioso de Android estaría al acecho en Play Store
Esta no es la primera vez en que la compañía se ve envuelta en un caso de este tipo. En 2016 Uber fue objeto de un ataque masivo de ciberseguridad dónde perdió los datos confidenciales de 57 millones de clientes y conductores.
En ese entonces, los hackers usaron credenciales robadas para acceder a un repositorio de código fuente privado y obtener una clave de acceso patentada, que luego usaron para acceder y copiar grandes cantidades de datos asociados con los usuarios y conductores de Uber.
Una infiltración que la empresa ocultó pagando a los delincuentes 100 mil dólares hasta que el caso salió a luz pública un año más tarde.
De ese caso, Joe Sullivan, el principal ejecutivo de seguridad de Uber en ese momento, fue despedido por su papel en la respuesta de la empresa al ataque. Sullivan fue acusado de obstruir la justicia por no revelar la infracción a los reguladores y actualmente está siendo juzgado.
Desde entonces la empresa ha estado más dispuesta a compartir los fallos en su sistema. Pero el alcance real de los posibles daños del ataque de hace unos días aún son desconocidos.
___________________________
[Desde Guna Yala, un artículo de Morbeb]
