¿Qué se vio comprometido?
Los atacantes accedieron a:
-
Datos personales de 57 millones de usuarios, incluyendo:
-
Nombres completos
-
Correos electrónicos
-
Números de teléfono
-
-
Datos de aproximadamente 600.000 conductores en EE.UU., incluyendo:
-
Nombres completos
-
Números de licencia de conducir
-
Uber afirmó que no se filtraron números de Seguridad Social, información bancaria, de tarjetas de crédito ni ubicaciones de viaje. Aun así, la información sustraída era más que suficiente para cometer fraudes o campañas de phishing.
¿Cómo ocurrió la filtración?
El incidente se debió a malas prácticas de seguridad:
-
Acceso al repositorio privado de GitHub de Uber
Los atacantes accedieron al código fuente donde los desarrolladores de Uber dejaron expuestas credenciales.
Uso de credenciales para acceder a Amazon Web Services (AWS)
-
Usaron esas credenciales para entrar a los bucket S3 de AWS, donde se almacenaban los datos personales.
-
-
Extracción de los datos
-
Se descargó un paquete de datos de 57 millones de registros.
-
-
Extorsión a Uber
-
Los atacantes contactaron a Uber y exigieron dinero a cambio de eliminar la información.
-
Línea de tiempo del caso
| Fecha | Evento |
|---|---|
| Oct 2016 | Ocurre la filtración; los hackers contactan a Uber. |
| Finales 2016 | Uber paga $100.000 a los atacantes a través de HackerOne. |
| Nov 2017 | El nuevo CEO, Dara Khosrowshahi, descubre el incidente y lo hace público. |
| Nov 2017 | Uber despide a su CSO Joe Sullivan y a su subdirector jurídico. |
| Sep 2018 | Uber acuerda una multa de $148 millones con 50 estados de EE.UU. |
| Ago 2020 | Joe Sullivan es acusado penalmente por obstrucción y encubrimiento. |
| Oct 2022 | Sullivan es declarado culpable de ambos cargos. |
| May 2023 | Recibe sentencia de libertad condicional, sin prisión. |
Consecuencias legales
Para Uber:
-
Multa de $148 millones por no notificar a tiempo el incidente.
-
Acuerdo para mejorar su seguridad:
-
Auditorías independientes
-
Reformas en su programa de bug bounty
-
Mayor transparencia con los usuarios y gobiernos
-
Caso penal contra Joe Sullivan:
-
Cargos:
-
Obstrucción de la justicia
-
Encubrimiento de un delito grave (misprision of felony)
-
-
Fue condenado en 2022.
-
Evitó la prisión en 2023, recibiendo libertad condicional por 3 años.
Cuestiones éticas y lecciones de ciberseguridad
Abuso del programa de Bug Bounty
-
Se utilizó un sistema diseñado para recompensar a hackers éticos para pagar a criminales.
-
Los atacantes no actuaron de buena fe, por lo tanto no calificaban para una recompensa legítima.
Falta de transparencia
-
Uber ocultó el incidente a las autoridades y usuarios.
-
Violación directa de leyes de notificación de brechas de datos.
Mala gestión de credenciales
-
Nunca se deben guardar claves de acceso en repositorios de código.
-
Es fundamental usar soluciones como Vault, AWS Secrets Manager o GitHub Actions Secrets.
Obstrucción a la FTC
-
Uber ya estaba siendo investigado por una violación en 2014 cuando ocurrió esta.
-
No revelaron la nueva filtración, agravando el caso legal.
Conclusiones y aprendizaj
-
Notificar brechas inmediatamente es obligatorio.
-
Implementar mejores controles de seguridad, especialmente en repositorios de código y credenciales.
-
Separar programas de bug bounty legítimos de extorsiones.
-
Tener un plan formal de respuesta a incidentes, con participación legal y de cumplimiento normativo.
-
Cargos penales pueden caer sobre profesionales de ciberseguridad si actúan fuera del marco ético o legal.
La condena de Joe Sullivan marcó la primera vez que un CISO fue responsabilizado penalmente por el manejo de una brecha, enviando un mensaje claro:
“La ciberseguridad no solo es técnica, también es legal y ética.”
