vía La Lista News.
De no haber evidencia de su intromisión, probablemente este hecho sería otro ejercicio interno de seguridad de Uber, y sus usuarios seguirían sufriendo la inseguridad de la plataforma.
El pasado 15 de septiembre, la empresa de servicios de movilidad Uber nuevamente demostró ser una aplicación extremadamente insegura. En un reto de meterse en los sistemas informáticos de la compañía, un joven de 18 años logró acceder al control de administración de cuentas de dominio de Amazon Services, Duo, OneLogin, G Suite y VMware, entre otras bases de datos, logrando empaquetarlas en un código fuente.
El crimen fue tan simple como enviar mensaje vía la aplicación Slack –herramienta utilizada para la comunicación entre grupos de trabajo– a un empleado de Uber solicitando su contraseña ante un aparente soporte por parte del equipo interno de informática de la empresa. Posterior al robo, el hacker tomó el control de la página interna y, a través de una imagen pornográfica, mandó un mensaje de: “váyanse a la mierda, idiotas”. Según el reporte del incidente, muchos de los empleados de Uber que recibieron el mensaje, más allá de reportar el incidente, empezaron a jugar con el ciberdelincuente burlándose de él, pensando que se trataba de una broma.
La historia se repite.
El 2016, Uber sufrió un hackeo brutal que vulneró la información de 57 millones de usuarios y conductores. La empresa decidió en ese momento no informar sobre el robo masivo de datos y pagar 100 mil dólares a los ciberdelincuentes para que no llevarán el incidente a mayores, y poderlo disfrazar como un ejercicio interno de prueba de seguridad.
Después, en 2018, Uber sacó a la luz un informe de agresiones sexuales sufridas por usuarios y conductores de la compañía en Estados Unidos, el cual mostraba que 6 mil personas denunciaron ser víctimas en sus viajes durante 2017 y 2018, tasa que disminuyó en un 16% cuando el número de viajes se incrementó, pero no así los reportes de abuso.
En México, el caso de una mujer agredida en 2019 por un conductor de Uber reveló el mercado negro de cuentas de conductores. Por 30 dólares, vendedores de cuentas falsas de Uber ofrecían un historial perfecto o ayuda para desbloquear a aquellos que habían sido sancionados por la empresa.
Con esta facilidad, un supuesto socio conductor de Uber que contaba con un historial de casi 5 mil viajes realizados con calificación perfecta en la aplicación –y que podría resultar sumamente confiable para cualquiera– convirtió el viaje en una pesadilla para Katsuko Nakamura, quien logró bajarse del auto a tiempo y denunciar el hecho. Por parte de Uber, la víctima solo consiguió la supuesta desactivación de la cuenta del conductor, pero a los pocos días confirmó que seguía activo en la plataforma.
De regreso a 2022, Uber informó el viernes pasado, a través de un tuit, estar en contacto con la policía y mantener actualizaciones a medida que estén disponibles. Por su parte, el ciberdelincuente afirmó que descargó informes de vulnerabilidad y compartió capturas de pantalla que obtuvo de HackerOne, plataforma de seguridad informática que, con la colaboración con hackers éticos, permite a empresas entender el tipo de ataque y solucionar las debilidades en los sistemas informáticos.
De no haber evidencia de su intromisión, probablemente este hecho sería otro ejercicio interno de seguridad de Uber, y sus usuarios seguirían sufriendo la inseguridad de la plataforma. Seguramente.
