La empresa internacional de vehículos en alquiler Uber ha recibido el día de hoy una penalización por parte de la Comisión Nacional de Informática y Libertades(CNIL) un ente regulador de protección de datos de Francia por una multa de USD $ 460,000 a causa de incurrir en la violación de datos.
Según menciona la fuente, esta medida se debe a que Uber no reaccionó de manera rápida ante una violación de datos ocurrida en el 2016 donde la compañía sufrió un ataque que dejó al descubierto los datos de 57 millones de usuarios, de los cuales 1,4 millones de usuarios son de Francia.
¿Cómo ocurrió el robo de datos?
Según explica la CNIL en un informe, todo el problema vino luego de que fueran almacenadas en texto plano los datos de inicio de sesión de Amazon Web Service en Github.
La CNIL añade que esto le permitió a los piratas informáticos el conectarse a los repositorios en GitHub de Uber por medio de las credenciales de acceso de algunos empleados y que pudieran descargar todos los datos de los usuarios incluyendo nombres, direcciones de correo electrónico y números de teléfono.
Varios factores jugaron en contra de Uber
La fuente menciona que según la CNIL esta situación se pudo haber evitado si Uber hubiesen tomado algunas medidas de protección, como proteger sus datos con la autenticación de dos factores(AF2) disponible y obligatoria para los repositorios privados de GitHub.
La compañía debería haber esperado que sus ingenieros se conectaran a la plataforma de desarrollo colaborativo «Github» a través de una fuerte medida de autenticación (por ejemplo, un identificador y una contraseña y un código secreto enviado a un teléfono).
Otro importante error fue el de almacenar las claves y contraseñas de acceso en texto plano de AWS en GitHub.
No debería haberse almacenado sin cifrar dentro del código fuente de los identificadores «Github» de la plataforma para acceder al servidor.
Para la CNIL la compañía debió utilizar una lista blanca de IP para conectarse a AWS.
Para acceder a los servidores de «Amazon Web Services S3» que contienen datos de usuario, debería haber configurado un sistema para filtrar direcciones IP.
Por último, el ente menciona que Uber debió notificar a tiempo –y no el año pasado– sobre esta violación de datos en vez de contratar a unos hackers de USD $ 100,000 para que eliminaran el conjunto de datos.
Afortunadamente para Uber esta violación de datos ocurrió antes de la implementación del GDPR y solo le toca pagara USD $460.000, mientras que ahora estaríamos hablando de un 4% de la facturación anual de la compañía.
