Un pirata informático que alegaba tener 18 años de edad vulneró la seguridad de la compañía de intercambio de viajes Uber la semana pasada y afirmó tener acceso a una amplia gama de sistemas dentro de la red de la organización. Según un artículo del New York Times, un investigador de seguridad que se comunicó con el pirata informático calificó el incidente como un "compromiso total" que le otorgó al atacante "acceso sin restricciones" a Uber.
El pirata informático, que parecía estar motivado por el trato de Uber a sus conductores, también vulneró el canal interno de Slack de la empresa y publicó un mensaje a los empleados sobre el ataque. Aún no está disponible toda la información sobre la violación, ya que la empresa dijo que todavía estaba investigando el alcance del incidente.
Sin embargo, esta no es la primera vez que Uber se ha visto comprometida. En 2016, una gran filtración de datos que dejó al descubierto datos sensibles afectó a 57 millones de clientes y conductores. La empresa admitió encubrir haber encubierto la infracción cuando estaban legalmente obligados a denunciarla ante la Comisión Federal de Comercio. El ex jefe de seguridad de Uber, Joe Sullivan, actualmente está siendo procesado por obstrucción de la justicia por no haber informado de la violación. Sus abogados, sin embargo, han argumentado que él proporcionó toda la información al equipo legal de Uber, que era el responsable de informar a las autoridades reguladoras.
¿Qué información está en riesgo?
Uber declaró que no tenía ninguna evidencia de que ningún tipo de información sensible de usuarios se viera comprometida. No obstante, el pirata informático habría tenido acceso a una amplia gama de sistemas y recursos críticos, incluyendo:
¿Cómo lo hizo el pirata informático?
El individuo le dijo al New York Times que usaron ingeniería social: un método común de phishing que se basa en la naturaleza humana de manipular a las personas para compartir información privada y privilegiada. El pirata informático contactó con un empleado a través de WhatsApp, alegando ser de Uber IT, y convenció a la persona de iniciar sesión en una página web falsa de Uber. Esto permitió que el pirata informático recolectara la contraseña del empleado y luego engañara al empleado para que autenticara el acceso con la aplicación de autenticación multifactor (MFA) de la empresa.
Engañar a los empleados para divulgar credenciales es una táctica común de los ciberatacantes. "Este tipo de ataques de ingeniería social para ganar un punto de apoyo dentro de las empresas de tecnología ha ido aumentando", afirmó al New York Times Rachel Tobac, pirata informática ética y directora ejecutiva de SocialProof Security. También señaló que los delincuentes ahora utilizan kits que hacen que sea mucho más fácil lanzar ataques de ingeniería social.
Regístrese para recibir noticias y actualizaciones acerca de Dashlane
¡Gracias! Está suscrito. Esté atento a las actualizaciones que lleguen directamente a su bandeja de entrada.
