Uber ha admitido que unos hackers accedieron a los datos de 57 millones de usuarios en todo el mundo, así como de 600.000 conductores estadounidenses, en octubre de 2016.
Después de descubrir la brecha, la compañía pagó a los piratas informáticos 100.000 dólares para borrar los datos, pero luego no informó a los usuarios ni a las autoridades pertinentes.
"He descubierto recientemente que a finales de 2016 fuimos conscientes de que dos personas ajenas a la empresa habían accedido indebidamente a los datos de usuarios almacenados en un servicio cloud de terceros", dijo Dara Khosrowshahi, nuevo CEO de Uber, en un post.
"El incidente no violó nuestros sistemas corporativos o nuestra infraestructura", indicó.
Aunque la compañía no dio más detalles, Bloomberg, que originalmente publicó la noticia, afirmó que los dos atacantes pudieron acceder a un sitio privado de GitHub utilizado por los ingenieros de software de Uber, que contenía detalles de acceso a la cuenta de Uber en AWS.
Los hackers pudieron encontrar los nombres y licencias de conducir de alrededor de 600.000 conductores estadounidenses, e información que incluye nombres, direcciones de correo electrónico y números de teléfonos móviles de 57 millones de usuarios de Uber. Los atacantes enviaron luego un correo electrónico a la compañía, pidiendo dinero.
"En el momento del incidente, tomamos medidas inmediatas para proteger los datos y cerrar el acceso no autorizado de las personas", dijo Khosrowshahi.
"Posteriormente identificamos a las personas y obtuvimos garantías de que los datos descargados habían sido destruidos. También implementamos medidas de seguridad para restringir el acceso y fortalecer los controles en nuestras cuentas de almacenamiento basadas en la nube", añadió.
Para obtener esas garantías, la compañía pagó a los hackers 100.000 dólares. Esta respuesta fue dirigida por el jefe de seguridad Joe Sullivan, que ha sido despedido junto con otro empleado.
La brecha de seguridad fue descubierta por el actual CEO de Uber, Khosrowshahi, después de que la junta de la compañía encargara una investigación sobre las actividades del equipo de seguridad.
Según
informaciones de Bloomberg, el anterior CEO, Travis Kalanick, fue consciente del hackeo en noviembre de 2016,
un mes después de que ocurriera. La compañía todavía tiene que comentar sobre
lo que sabía su cofundador y desde cuándo.
Ahora que la información es pública, Uber dijo que está notificando a los conductores afectados y les está
proporcionando monitoreo de crédito y protección contra robo de identidad,
aunque no han visto ninguna evidencia de fraude de identidad.