Intrusión en Uber: hacker se habría hecho pasar por colega
Septiembre 17, 2022 - 10:28 a.m.
El servicio de taxis por app afirmó que no había pruebas de que el hacker haya tenido acceso a datos confidenciales de los usuarios
Uber aseguró que todos sus servicios estaban en funcionamiento después de haber sufrido lo que los profesionales en ciberseguridad han calificado como una falla grave en su seguridad de datos.
Sin embargo, la intrusión, aparentemente cometida por un hacker en solitario, puso en evidencia una práctica cada vez más eficaz y que involucra la llamada “ingeniería social”: El hacker aparentemente obtuvo acceso haciéndose pasar por un colega, engañando a un empleado de Uber para que le diera sus acreditaciones.
Entonces fue capaz de localizar contraseñas en la red, que le permitieron obtener el nivel de acceso privilegiado que está reservado para los administradores de sistemas.
El daño potencial era grave: las capturas de pantalla que el hacker compartió con los investigadores de seguridad indican que obtuvo acceso completo a los sistemas alojados en la nube donde Uber almacena datos financieros y confidenciales de los clientes.
Se desconoce cuántos datos robó el hacker o cuánto tiempo estuvo dentro de la red de Uber. Dos investigadores que se comunicaron directamente con la persona —que se identificó como un joven de 18 años ante uno de ellos— dijeron que el hacker parecía estar interesado solamente en hacerse publicidad. No hubo indicios de que hubiera dañado datos.
Más de la sección
Sin embargo, los archivos compartidos con los investigadores y publicados ampliamente en Twitter y otras redes sociales indican que el hacker pudo obtener acceso a los sistemas internos más cruciales de Uber.
“Fue muy grave el acceso que tuvo. Fue terrible”, opinó Corbin Leo, uno de los investigadores que chateó con el hacker en línea.
Las reacciones de la comunidad de ciberseguridad en internet fueron duras, teniendo en cuentas que Uber ya había sufrido una intrusión grave en sus sistemas informáticos en 2016.
El hackeo “no fue sofisticado ni complicado y claramente se basó en múltiples y enormes fallos sistémicos en materia de cultura e ingeniería de seguridad”, tuiteó Lesley Carhart, directora de respuesta a incidentes de Dragos Inc., que se especializa en sistemas de control industrial.