Resulta que un home de 20 anys de Florida era el responsable per la violació massiva de seguretat a Uber Technologies Inc es va produir l'any passat i va ser pagada per la companyia per destruir les dades robades i mantenir l'incident en secret.
Va anunciar Uber sobre l’incompliment de la seguretat el 21 de novembre, dient que 2 pirates informàtics van robar dades personals de 57 milions de clients, inclosos 600,000 conductors als Estats Units, d’un servidor de núvol de tercers que la companyia utilitza i que va pagar 100,000 dòlars en rescat per destruir les dades. La informació robada contenia noms, adreces de correu electrònic i números de telèfon mòbil, inclosos els números del permís de conduir, però no incloïa l’historial d’ubicacions del viatge, números de targeta de crèdit, números de compte bancari, números de la Seguretat Social ni dates de naixement. No obstant això, l'empresa no ho va fer revelar les identitats o informació sobre els pirates informàtics o com els va pagar.
Ara tres fonts desconegudes familiaritzades amb l’incident van dir a Reuters que Uber va fer el pagament a través de la plataforma HackerOne, una companyia que ajuda les empreses tecnològiques a allotjar el seu programa de divulgació de vulnerabilitats i recompenses d’errors a la seva plataforma. El pirata informàtic de Florida va pagar una quantitat desconeguda a la segona persona pels serveis que implicaven accedir a GitHub. Tot i això, les identitats de l’home de Florida i de l’altre que el va ajudar a dur a terme el pirateig no van poder obtenir.
Tot i que HackerOne no juga cap paper a l’hora de decidir els beneficis en nom de les empreses, segur que rebrà la informació sobre la identitat del destinatari a través d’un formulari IRS W-9 o W-8BEN abans que es pugui efectuar el pagament de l’adjudicació. El conseller delegat de HackerOne, Marten Mickos, va dir que no podia discutir els programes d'un client individual. Això implica que alguns dels empleats de la companyia coneixen la identitat del pirata informàtic, però van optar per no revelar cap informació, ja que la persona no va representar cap amenaça futura per a l'empresa.
Les fonts també van informar que Uber es va assegurar que totes les dades robades s'eliminessin mitjançant una anàlisi forense de l'ordinador del pirata informàtic i van fer que el pirata informàtic signés un acord de no divulgació per evitar que es poguessin produir més faltes.
Segons els informes, el nou conseller delegat d’Uber, Dara Khosrowshahi, va acomiadar dos dels màxims oficials de seguretat d’Uber i un dels seus adjunts, Craig Clark, que treballava per mantenir la violació de dades silenciosa. El primer El CEO Travis Kalanick qui va renunciar al càrrec de conseller delegat d'Uber al juny va ser conscient de la violació i el pagament de la recompensa d'errors al novembre de l'any passat, però es va negar a fer comentaris sobre el tema.
“Res d’això no hauria d’haver passat, i no n’excusaré. Tot i que no puc esborrar el passat, puc comprometre en nom de tots els empleats d’Uber que aprendrem dels nostres errors ”, va dir Khosrowshahi.
"Estem canviant la nostra manera de fer negocis, posant la integritat en el nucli de totes les decisions que prenem i treballant dur per guanyar-nos la confiança dels nostres clients".
La setmana passada van renunciar a tres gerents de seguretat Uber més, entre ells el cap de gabinet de Sullivan, Pooja Ashok, l'enginyer superior de seguretat Prithvi Rai i el cap de seguretat física Jeff Jones.