Hace escasamente dos semanas Uber confirmó un ciberataque masivo ocurrido en octubre de 2016 en el que datos personales de 57 millones de clientes y conductores se vieron afectados. La grave brecha de seguridad, en investigación en países como Estados Unidos o España, además de ser ocultada fue silenciada con el pago de 100.000 dólares a los responsables. Querían que la información sustraída fuese eliminada y el suceso se mantuviese en secreto.
Hoy sabemos gracias a una información exclusiva publicada por Reuters que el atacante es un hombre de Florida de 20 años. Aunque la agencia no ha podido concretar la identidad del pirata informático, los datos han sido confirmados por varias fuentes cercanas que hablan de la participación de una segunda persona pagada por el hacker. Esta habría sido la que accedió al repositorio de GitHub.
Uber habría analizado el equipo del atacante para comprobar el borrado de los datos
Este joven fue descrito por una fuente como alguien que "vive con su mamá en una pequeña casa tratando de ayudar a pagar las cuentas" y que para el equipo de seguridad de Uber no parecía representar una amenaza adicional como para iniciar una persecución. El pago llevado a cabo por la compañía, según dos fuentes, se llevó a cabo para poder confirmar su identidad y pedirle que firmase un acuerdo de no divulgación para disuadirlo de cometer más delitos.
Aunque en su momento no se dijo cómo se había comprobado que la información extraída por este atacante se había eliminado tras el pago de los 100.000 dólares, Reuters dice que Uber llevó a cabo un análisis forense de la máquina del pirata informático para asegurarse de que los datos habían sido borrados.
Como sabíamos, la empresa de transporte privado recibió el correo del joven floridano exigiendo dinero tras perpetrar el ataque. Acto seguido, ese mensaje fue transmitido al equipo de recompensas de errores como es habitual en la compañía, según indica la agencia citando tres fuentes cercanas, y a través de este programa diseñado para gratificar a los investigadores de seguridad que reportan fallas en el software se le abonó la suma mencionada. Un hecho extraordinario.
De haberse pagado los 100.000 dólares a un verdadero investigador, estaríamos hablando de un "récord de todos los tiempos" ya que estas recompensas suelen oscilar entre los 5.000 y 10.000. Aunque no queda claro todavía quién autorizó este pago y quién es responsable de la ocultación, se sabe que el anterior CEO, Travis Kalanick, estuvo al corriente de los sucedido semanas después y que el anterior jefe de seguridad, Joe Sullivan, fue despedido tras conocerse los hechos.
En Genbeta | Uber, la grave ocultación del ciberataque y la enésima perdida de confianza
Ver todos los comentarios en https://www.genbeta.com
VER 0 Comentario