Un hacker de 20 años, responsable de la brecha de seguridad de Uber

  • Seguridad

Uber realizó el pago, a través de un programa denominado "error de recompensa" para confirmar la identidad del hacker y solicitarle que firmase un acuerdo de confidencialidad para evitar nuevas filtraciones.

Continúan las revelaciones sobre la brecha de seguridad que sufrió Uber el año pasado. Tal y como ha podido saber Reuters, el responsable de la brecha fue un hombre de 20 años residente en Florida. Uber pagó a este hombre para que destruyera los datos a través de un programa denominado “error de recompensa” que normalmente se utiliza para descubrir pequeñas vulnerabilidades del código y que se gestiona a través de una empresa llamada HackerOne, la cual ofrece su plataforma a varias empresas de tecnología.

Quizá te interese...

Por una Transformación Digital segura (IT Webinar)  

Cómo debe ser el Centro de Datos de Nueva Generación

Cómo mejorar la analítica de tu banco digital y optimizar la experiencia de usuario

7 sugerencias para mejorar la carga de tu web o app

Cómo superar los desafíos de TI en las pequeñas empresas

La empresa digital: transformando las TI con nuevas infraestructura

Reuters asegura que se desconoce quién fue el que tomó la decisión final de pagar al hacker a través del programa. No obstante, las tres fuentes consultadas por la agencia de noticias afirman que Travis Kalanick, por aquel entonces CEO de Uber, estaba al tanto de la brecha de seguridad.  

El pago de 100.000 dólares a través de un programa de recompensas es “extremadamente inusual”, aseguran desde HackerOne. Además, la plataforma también destaca que “premiar a un hacker que ha robado datos” es una actividad que “está fuera de las reglas habituales de un programa de recompensas”, donde se suele pagar entre 5.000 y 10.000 dólares.

Según las fuentes, Uber realizó el pago para confirmar la identidad del hacker y solicitarle que firmase un acuerdo de confidencialidad para evitar nuevas filtraciones. La compañía también realizó un análisis forense del ordenador del hacker para asegurarse que los datos se habían eliminado.

Además, el hacker también pagó a una segunda persona por los servicios que implicaban el acceso a GitHub, una plataforma utilizada por los programadores para almacenar su código. La intención de éste habría sido obtener las credenciales para acceder a los datos que tenía Uber almacenados en otro sitio.

En octubre de 2016, Uber Technologies fue víctima de un ciberataque que tuvo, como principal consecuencia, el robo de información personal de cerca de 57 millones de usuarios a nivel global. La compañía pagó 100.000 dólares para mantener en secreto esta brecha de seguridad. “Nada de esto debería de haber sucedido y no voy a poner excusas”, aseguró en un blog Dara Khosrowshahi, CEO de Uber, quien afirmó que se enteró “recientemente” del incidente (la brecha de seguridad se produjo en octubre de 2016 y él sustituyó a Travis Kalanick este mes de agosto).

La importancia de la brecha de seguridad, y del hecho de que la compañía pagase para que no se supiese, ha llevado a que países de todo el mundo hayan decidido investigar el incidente.