Veda abierta para los hackers de Uber

Días después de descubrirse que hace un año Uber sufrió una brecha de seguridad y que pagó a los responsables de la misma 100.000 dólares para ocultarla, se empieza a detectar cómo los ciberdelincuentes están empezando a dirigirse a las víctimas en una nueva estafa de phishing.

También puedes leer... Por una Transformación Digital Segura Directrices para el Data Protection Office (DPO) Cinco pasos para hacer del Data Masking una realidad Lagunas de conocimiento en Ciberseguridad Cómo cuantificar el valor de un CASB

Ha sido una semana interesante en lo que a ciberseguridad se refiere. No es que no lo sea habitualmente, o que una brecha de seguridad que afecta a 57 millones de personas no sea un gran titular, pero que esa brecha se haya ocultado y que se haya pagado a los hackers para que la información no trascienda, añade un poco más de tensión al asunto.

En 2016 Uber sufrió una brecha de seguridad que dejó expuesta información de 57 millones de cuentas. No afectó a números de tarjetas de crédito, pero sí a números de teléfono, nombres y direcciones de mail. Y ahora los hackers estarían capitalizando su hazaña por segunda vez. Parece que los 100.000 dólares recibidos les ha sabido a poco y según The Daily Best algunos de los usuarios afectados estarían recibiendo correos que supuestamente proceden de Uber y en el que se les pide que cambien sus contraseñas. ¿Quién no picaría?

Melanie Ensign, portavoz de Uber, se ha apresurado a asegurar que “estos emails no son de Uber” y ha explicado al diario que la compañía cuenta con un sistema de autenticación multifactor, y que si alguien detecta algo sospechoso en sus cuentas debe contactar con el centro de soporte de la compañía: help.uber.com.

En lo que aparentemene es un mensaje de phishing, lo que están recibiendo algunos usuarios es el siguiente comunicado: “Nuestras más sinceras disculpas. Es posible que haya escuchado que Uber se vio comprometido el año pasado. Lamentamos informarle que su información, desafortunadamente, se confirmó como parte de la infracción. Haga clic a continuación para confirmar que recibió este mensaje y cambiar su contraseña”

Según The Daily Best, Uber aún debe informar directamente a sus clientes sobre si se han visto afectados por la brecha. Un usuario desprevenido consideraría auténtico este correo y terminar entregando sus contraseñas a los hackers.

Uber y la GDPR. Premeditación y alevosía

A seis meses de que la regulación sobre protección de datos europea, GDPR, sea de obligado cumplimiento, recordamos que Uber habría tenido que notificar el caso a los reguladores antes de 72 horas de haberla sufrido, o al menos nada más saber que había sido hackeada.

El año que ha tardado en notificarla, o que los hackers ya estén utilizando los datos robados, lo que significa que no estaban adecuadamente cifrados, lleva a pensar que la multa sería cuantiosa. Lo máximo es el 4% de sus ingresos globales o 20 millones de euros.

Como compañía privada, Uber no está obligada a informar sobre sus resultados fiscales, aunque a principios de este año empezó a ofrecer algunas cifras. Las últimas son las aportadas por IT User en un artículo publicado a finales de agosto, que recoge que la compañía perdió 1.270 millones de dólares en el primer semestre de este año y en el segundo trimestre del año facturó 1.110 millones de dólares. Extrapolando esta cifra, es seguro que la multa alcanzaría el máximo contemplado en la regulación.