Noticias
Uber sufre un ciberataque que compromete sistemas TI críticos y datos de millones de usuarios
Uber está investigando un incidente de seguridad cibernética tras sufrir un ciberataque de alto perfil que puede haber afectado gravemente a su infraestructura crítica y potencialmente a los datos personales de millones de usuarios.
Según la información disponible hasta el momento, un atacante desconocido logró acceder a los sistemas informáticos de la mayor compañía mundial de movilidad como servicio. Las capturas de pantalla compartidas por el propio ciberdelincuente, muestran lo que parece ser un acceso completo a sistemas críticos de TI de Uber, incluido el software de seguridad de la empresa y el dominio de Windows.
Los sistemas vulnerados son amplios y relevantes, ya que abarcan a la consola de Amazon Web Services de la compañía, las máquinas virtuales VMware ESXi, el panel de administración de correo electrónico de Google Workspace y el servidor Slack, en el que el pirata informático publicó sus mensajes.
Con ser grave lo anterior, lo peor para Uber puede llegar del hackeo de su programa de recompensas por errores HackerOne que permite a los investigadores de seguridad revelar de forma privada vulnerabilidades. Si, como se sospecha, obtuvo acceso a todas las presentaciones de vulnerabilidades privadas de la compañía, probablemente incluye informes de vulnerabilidad que no se han solucionado, lo que presenta un grave riesgo de seguridad para Uber.
Cómo se realizó el ciberataque a Uber
The New York Times, que fue el primero en informar sobre el ciberataque a Uber, explica que el mismo se realizó mediante ingeniería social contra un empleado de alto perfil y en concreto comprometiendo su cuenta del servicio de comunicación empresarial, Slack.
La ingeniería social se ha convertido en una técnica muy popular entre los ciberdelincuentes y lo hemos visto en ataques recientes contra otras empresas como Twitter , MailChimp, Robinhood y Okta. El usuario siempre es el eslabón más «débil» de la cadena de seguridad y es el principio que sustenta este tipo de ataques informáticos.
Además del compromiso de sistemas críticos TI y del programa de recompensas por errores de seguridad HackerOne (muy grave por los motivos citados), no es descartable que los datos personales de usuarios hayan sido comprometidos.
Para Uber, no es el primer incidente de este tipo. En 2018, acordó el pago de 148 millones de dólares por una violación de datos de 2016 que el servicio de transporte compartido ocultó incumpliendo la normativa al respecto. El jefe de seguridad de Uber entonces, fue acusado de encubrir la violación.
En aquella ocasión, los piratas informáticos robaron datos de 57 millones de conductores y pasajeros, incluida información personal como nombres, direcciones de correo electrónico y número de licencia de conducir. Uber encubrió ilegalmente el caso, pagó a los piratas informáticos 100.000 dólares para eliminar la información y les pidió que firmaran un acuerdo de confidencialidad. El ciberataque actual parece más grave aún, aunque no hay información oficial que podamos valorar. Ya te contaremos.
Comportamiento empresarial «terrible»
Y relacionado…. The Guardian y el Consorcio Internacional de Periodistas de Investigación publicaron recientemente miles de archivos confidenciales filtrados de Uber, revelando que la empresa violó todo tipo de leyes a sabiendas, presionó en secreto a los gobiernos, ocultó pruebas de su funcionamiento a la policía, recibió ayuda de políticos y explotó la violencia contra sus conductores para impulsar el negocio.
El objetivo general era interrumpir la industria del taxi en Europa para llevar el servicio de transporte compartido a ciudades de todo el mundo, incluso cuando hacerlo infringía a sabiendas las normativas existentes. Los despiadados métodos comerciales de Uber eran conocidos, pero por primera vez los archivos filtrados brindaron una visión interna única de los esfuerzos que hizo para lograr sus objetivos.
La dirección actual de Uber reconoció los muchos errores cometidos por la compañía bajo la dirección de Travis Kalanick, pero se desmarcó de ellos. Al menos en seguridad informática, tendrán que hacer mayores esfuerzos.
Google Meet permitirá «mover» llamadas entre dispositivos sin colgar
ASUS ROG Ally ya soporta AMD Fluid Motion Frames
Pixel Tablet 2: sin base, pero con teclado y lápiz óptico
El creador de No Rest for the Wicked defiende el acceso anticipado
Vivaldi 6.7 mejora la hibernación de pestañas, el lector de noticias y más
Novedades de la semana en GeForce Now y NVIDIA DLSS de un vistazo
10 sitios web para descargar libros electrónicos gratuitos
Telefónica cumple 100 años, repasamos su historia
Novedades VOD 16/24: ‘Rebel Moon’, la película que deja marcas
‘Ereban: Shadow Legacy’, juego de sombras
Cómo instalar el soporte multimedia en Ubuntu, Linux Mint, Fedora y Flatpak
Zilog finaliza la producción de los Z80, un chip mítico
Google Meet permitirá «mover» llamadas entre dispositivos sin colgar
Telefónica cumple 100 años, repasamos su historia
¿Qué necesito para darme de alta en HP Instant Ink?
Acer presenta el Chromebook Plus 514 con procesador Intel Core
Microsoft publica la primera versión de Office LTSC 2024
