Uber va a cerrar el 2017 con uno de los peores escándalos de su historia, y eso es decir mucho. Hace unas semanas se reveló que la compañía había ocultado un ataque hacker; la información de 57 millones de cuentas habían acabado en manos de dos extraños.
En una decisión algo discutible, y que aún no tiene culpable claro, Uber pagó unos 100.000 dólares a los atacantes, con la condición de que borrasen los datos. Una transferencia que Travis Kalanick, por aquel entonces CEO, conocía; aún no se sabe si fue aprobada por él mismo.
De hecho, aún hay muchos detalles del acuerdo que no se conocen; principalmente porque Uber ahora tendrá que responder ante el Congreso de los EEUU, y dependiendo de lo que diga puede sufrir consecuencias legales. Sin embargo, Reuters se les ha adelantado, publicando una exclusiva que arroja más luz sobre el ataque.
Gracias a esta publicación, ahora se sabe que Uber intentó ocultar el pago a los hackers usando su programa de caza de bugs. Muchas compañías de tecnología cuentan con programas similares, que premian a los hackers que avisan de bugs en vez de usarlos; el de Uber tiene un límite de 10.000 dólares según la gravedad del bug, pero el pago real a los hackers fue de 100.000 dólares.
El programa de bugs de Uber usa la plataforma HackerOne; según uno de sus antiguos ejecutivos, un pago de 100.000 dólares por un bug sería todo un récord y muy inusual. El CEO de HackerOne no ha confirmado el pago, pero sí que da pistas del motivo por el que Uber usó esta plataforma: para identificar al hacker.
Uber quería tener la certeza de que los datos de los usuarios se habían borrado; así que convenció al hacker para identificarse usando HackerOne y para que firmase un documento legal que asegurase su silencio. Además, forenses de Uber analizaron el ordenador del hacker para asegurase de que los datos se habían borrado.
La descripción del hacker es tal vez lo más curioso de la historia: un hombre de 20 años que vive con su madre. Aparentemente su única intención era ayudar a su madre a pagar las facturas; probablemente por eso aceptase el trato con la compañía, en vez de vender los datos en el mercado negro y potencialmente ganar más.
Este hacker (cuyo nombre no se ha hecho público) tuvo la ayuda de una segunda persona para acceder a GitHub, donde supuestamente pudieron obtener los datos de acceso de los servidores de Uber. Github ha negado que su seguridad haya fallado, así que posiblemente usaron otros métodos, como ingeniería social.
Ni que decir tiene que todo esto no deja en buen lugar a Uber. Incluso si Uber cataloga el ataque hacker como parte del programa de caza de bugs (lo cual es muy discutible) eso no quita que tenga una obligación de avisar a sus usuarios cuando sus datos acaban en manos de otros.
Probablemente esta no será la última vez que hablemos de este enorme fiasco.