TORONTO/SAN FRANCISCO — Uber, una empresa de servicios de transporte en apuros, se enfrenta a una nueva campaña regulatoria después de revelar que pagó 100.000 dólares a piratas informáticos para mantener en secreto una filtración masiva el año pasado que expuso datos personales de alrededor de 57 millones de cuentas.
El descubrimiento del encubrimiento del incidente por parte de la compañía estadounidense resultó en el despido de dos empleados responsables de su respuesta al ataque, dijo Dara Khosrowshahi, quien reemplazó al cofundador Travis Kalanick como director ejecutivo en agosto.
«Nada de esto debería haber sucedido, y no pondré excusas por ello», dijo Khosrowshahi. en una entrada de blog.
La autoridad de protección de datos de Gran Bretaña dijo el miércoles que el ocultamiento de la violación de datos plantea «enormes preocupaciones» sobre las políticas y la ética de datos de Uber.
«Ocultar deliberadamente las infracciones a los reguladores y ciudadanos podría generar multas más altas para las empresas», dijo James Dipple-Johnstone, comisionado adjunto de la Oficina del Comisionado de Información del Reino Unido, en un comunicado. La ley británica actual conlleva una sanción máxima de 500.000 libras (662.000 dólares) por no notificar a los usuarios y reguladores cuando se producen filtraciones de datos.
La información robada incluía nombres, direcciones de correo electrónico y números de teléfonos móviles de usuarios de Uber en todo el mundo, y los nombres y números de licencia de 600.000 conductores estadounidenses, dijo Khosrowshahi. Uber se negó a decir qué otros países pueden verse afectados.
«No hay duda de que el anterior equipo de administración y seguridad de Uber fracasó en su responsabilidad con los conductores, los reguladores, la justicia y, sobre todo, con los clientes. Esa es una lista bastante larga».
Khosrowshahi también dijo que Uber había comenzado a notificar a los reguladores. El fiscal general de Nueva York abrió una investigación, dijo una portavoz. Los reguladores de Australia y Filipinas dijeron el miércoles que también investigarían el asunto.
Conocido desde hace mucho tiempo por su postura combativa con los reguladores de taxis locales, Uber se ha enfrentado a una serie de salidas de ejecutivos de alto nivel por cuestiones que van desde el acoso sexual hasta la privacidad de los datos y las condiciones laborales de los conductores, lo que obligó a su directorio a destituir a Kalanick como director ejecutivo en junio.
En los últimos meses, el regulador de transporte de Londres despojó a Uber de su licencia para operar alegando que la empresa no se ocupó de los problemas de seguridad y protección pública, aunque Uber está apelando la decisión y el nuevo director ejecutivo ha mantenido conversaciones con Transport for London para resolver el problema. apagado.
La agencia dijo que estaba buscando más información de Uber.
«Los estamos presionando para obtener todos los detalles de lo que sucedió, de modo que podamos estar satisfechos de que existen todas las protecciones adecuadas para los datos personales de los conductores y clientes en Londres», dijo un portavoz de Transport for London.
El Centro Nacional de Seguridad Cibernética de Gran Bretaña dijo que estaba trabajando con otras autoridades nacionales para determinar cómo los ciudadanos del Reino Unido podrían haberse visto afectados, pero agregó que hasta el momento no tiene información de que los detalles financieros de los clientes se hayan visto comprometidos.
¿Quién sabía qué cuándo?
La violación ocurrió en octubre de 2016, pero Khosrowshahi dijo que se había enterado recientemente.
Bloomberg News informó por primera vez sobre la violación de datos el martes.
Pero Kalanick se enteró de la violación en noviembre de 2016, un mes después de que ocurriera, dijo a Reuters una fuente familiarizada con el asunto. En ese momento, la empresa estaba negociando con la Comisión Federal de Comercio de EE. UU. sobre el manejo de los datos de los consumidores.
Un comité de la junta investigó la violación y concluyó que ni Kalanick ni Salle Yoo, el abogado general de Uber en ese momento, estaban involucrados en el encubrimiento, dijo otra persona familiarizada con el tema. La persona no dijo cuándo se llevó a cabo la investigación.
Uber dijo el martes que estaba obligado a denunciar el robo de la información de la licencia de conducir y no lo había hecho.
«No hay duda de que el anterior equipo de administración y seguridad de Uber fracasó en su responsabilidad con los conductores, los reguladores, la justicia y, sobre todo, con los clientes», dijo Rik Ferguson, vicepresidente de investigación de seguridad de la firma de software Trend Micro. «Esa es una lista bastante larga».
No hay evidencia de fraude contra los pasajeros como resultado de la violación de datos, mientras que a los conductores cuyos números de licencia han sido robados se les ofrece protección gratuita contra el robo de identidad y monitoreo de crédito, dijo Uber.
Dos piratas informáticos obtuvieron acceso a información patentada almacenada en GitHub, un servicio que permite a los ingenieros colaborar en el desarrollo de código de software. Allí, las dos personas robaron las credenciales de Uber para un proveedor de servicios en la nube separado donde pudieron descargar los datos del conductor y del pasajero, dijo la compañía.
Una portavoz de GitHub dijo que el ataque no fue el resultado de una falla en la seguridad de GitHub.
“Si bien no puedo borrar el pasado, puedo comprometerme en nombre de cada empleado de Uber de que aprenderemos de nuestros errores”, dijo Khosrowshahi.
quien fue despedido
Uber está negociando con un consorcio liderado por SoftBank Group de Japón para nuevas inversiones que podrían tener un valor de hasta $ 10 mil millones, dijeron fuentes a Reuters a principios de este mes. SoftBank se negó a comentar si la brecha de seguridad podría llevarlo a renegociar los términos de su acuerdo propuesto.
Uber dijo que había despedido a su director de seguridad, Joe Sullivan, y a un ayudante, Craig Clark, esta semana por su papel en el manejo del incidente. Sullivan, ex alto funcionario de seguridad en Facebook y fiscal federal, se desempeñó como jefe de seguridad y asesor general adjunto de Uber.
Sullivan se negó a comentar cuando fue contactado por Reuters. Clark no pudo ser contactado de inmediato para hacer comentarios.
Kalanick, a través de un portavoz, se negó a comentar. El ex director ejecutivo permanece en la junta directiva de Uber y Khosrowshahi ha dicho que consulta con él regularmente.
Aunque los pagos a los piratas informáticos rara vez se discuten públicamente, los funcionarios de la Oficina Federal de Investigaciones de EE. UU. y las empresas de seguridad privada han dicho a Reuters que un número cada vez mayor de empresas están pagando a piratas informáticos criminales para recuperar datos robados.
Uber tiene un historial de no proteger los datos del conductor y del pasajero. Los piratas informáticos robaron previamente información sobre los conductores de Uber y la empresa reconoció en 2014 que sus empleados habían utilizado una herramienta de software llamada «God View» para rastrear a los pasajeros.
Khosrowshahi dijo el martes que había contratado a Matt Olsen, exconsejero general de la Agencia de Seguridad Nacional de EE. UU., para reestructurar los equipos y procesos de seguridad de la empresa. La empresa también contrató a Mandiant, una firma de seguridad cibernética propiedad de FireEye Inc, para investigar la violación.
El nuevo CEO ha viajado por el mundo desde que reemplazó a Kalanick para transmitir un mensaje de que Uber ha madurado desde sus primeros días como una empresa emergente que se mofaba de las reglas.
“El nuevo director ejecutivo enfrenta una cantidad desconocida de problemas fomentados por la cultura promovida por su predecesor”, dijo Erik Gordon, experto en emprendimiento y tecnología de la Escuela de Negocios Ross de la Universidad de Michigan.
Información de Jim Finkle en Toronto; Heather Somerville, Joseph Menn y Stephen Nellis en San Francisco, Manolo Serapio Jr en Manila, Byron Kaye en Sydney, Sam Nussey en Tokio y Eric Auchard en Londres.
Vídeo relatado:
Relacionado:
Surgen más detalles sobre la posible alianza Fiat-Chrysler
Surgen los primeros detalles sobre el Audi A4 (B9) de última generación
Surgen detalles sobre la próxima generación del Toyota Prius
Surgen detalles sobre la captura iraní de lanchas patrulleras de la Armada
Uber está usando datos de teléfonos inteligentes para alertarlo sobre malos conductores
