Las noticias han salido a la luz hoy y afirman que Uber, la controvertida compañía de viajes en taxi, sufrió una violación masiva de datos en 2016. Según Bloomberg, los datos de 57 millones de conductores y clientes fueron robados, después de lo cual Uber no solo mantuvo la brecha en secreto, sino que también pagó a los piratas informáticos cien mil dólares para «borrar los datos y guardar silencio».
Aparentemente, el jefe de seguridad de Uber, Joe Sullivan, atraído a Uber desde Facebook en 2015, fue despedido por las consecuencias.
Bloomberg cita a Uber de la siguiente manera:
Los datos comprometidos del ataque de octubre de 2016 incluyeron nombres, direcciones de correo electrónico y números de teléfono de 50 millones de usuarios de Uber en todo el mundo. También se accedió a la información personal de aproximadamente 7 millones de conductores, incluidos unos 600,000 números de licencias de conducir de EE. UU. No se tomaron números de Seguridad Social, información de tarjeta de crédito, detalles de la ubicación del viaje u otros datos.
Parece que los programadores de Uber cargaron las credenciales de seguridad en un repositorio de GitHub: ¡GitHub es un lugar donde se supone que debés almacenar el código fuente, no las llaves del castillo, donde los hackers tropezaron con ellos.
A partir de ahí, pudieron ingresar a los servidores de Uber alojados en Amazon y desde allí acceder a la información personal involucrada en la violación. Si esto suena terriblemente familiar, Uber sufrió un incumplimiento con una causa similar hace poco más de tres años, una intrusión que se descubrió en mayo de 2014 pero no se reveló hasta febrero de 2015. Aún no están disponibles los detalles confiables de los datos robados esta vez.
Como se mencionó anteriormente, los piratas informáticos adquirieron los detalles de la licencia de conducir, lo que significa que Uber sin duda debería haber declarado la infracción con rapidez, porque se trataba de datos confidenciales.
La afirmación de Uber de que los detalles del cliente, como los datos de la tarjeta de crédito y los números de la seguridad social no estuvieron involucrados en el atraco, es un leve adelanto, pero ¿cuántos clientes están dispuestos a creer que Uber en este momento es una incógnita?
¿Qué hacer?
Todavía hay mucho que no se ha contado en esta historia; la única recomendación sensata que podemos hacer a los clientes de Uber es: «Mantenga sus ojos abiertos para lo que viene».
Si es programador, repita estas palabras a cualquiera que lo escuche: «¡GitHub es por código, no por claves de seguridad!»
Como lo dijo sin rodeos nuestro amigo y colega Chester Wisniewski, investigador principal de Sophos:
La brecha de Uber demuestra una vez más cómo los desarrolladores deben tomar seriamente la seguridad y nunca incrustar o implementar tokens y claves de acceso en los repositorios de código fuente. Diría que se siente como si hubiera visto esta película antes, pero por lo general las organizaciones no son atrapadas mientras participan activamente en un encubrimiento. Dejando el drama a un lado y los posibles impactos de la próxima aplicación de GDPR en Europa, este es solo otro equipo de desarrollo descuidado con credenciales compartidas y prácticas de seguridad deficientes.
Lamentablemente, esto es muy común en entornos de desarrollo «ágiles», especialmente en las nuevas empresas de alto crecimiento.
Ah, y si sufre una violación, haga lo correcto: repórtela rápidamente, no solo porque la ley lo obligue a hacerlo, sino porque es lo correcto.
