El hacker de Uber tiene 20 años y le pagaron por destruir la información

Un hombre de Florida de 20 años fue responsable del hackeo que comprometió los datos de 57 millones de usuarios y conductores de Uber Technologies el año pasado; y a quien Uber le pagó por destruir los datos a través de un programa llamado “error de recompensa”, utilizado para identificar vulnerabilidades de código pequeño, según Reuters.

Una fuente de Uber comentó a Reuters que el hacker podría describirse como un joven “que vive con su mamá en una pequeña casa tecleando para ayudar a pagar las cuentas”. También añadió que miembros del equipo de seguridad de la firma no quisieron continuar con la persecución de un individuo quien pareció que se volvería en una amenaza mayor.

Uber anunció el 21 de noviembre que los datos personales de 57 millones de pasajeros y 600 mil conductores fueron robados en una violación a la red que ocurrió en octubre de 2016, y que le pagó al pirata informático 100 mil dólares para destruir la información. Pero la compañía no reveló ninguna información sobre el hacker o cómo le pagó el dinero.

Uber hizo el pago el año pasado a través de un programa diseñado para recompensar a los investigadores de seguridad que informan fallas en el software de una compañía, dijeron estas personas.

El servicio de recompensas por errores de Uber, como se le conoce a un programa de este tipo en la industria, está alojado en una empresa llamada HackerOne, que ofrece su plataforma a varias empresas de tecnología.

El hacker de Uber le habría pagado a una segunda persona por servicios relacionados con el acceso a GitHub, un sitio ampliamente usado por programadores para almacenar código y obtener credenciales para acceder a datos almacenados de Uber en otro sitio, detalló la fuente.

Reuters no pudo establecer la identidad del hacker ni de otra persona que las fuentes dijeron que lo ayudó. El vocero de Uber Matt Kallman se negó a comentar sobre el asunto.

El nuevo jefe ejecutivo de Uber, Dara Khosrowshahi, despidió a dos de los principales oficiales de seguridad de Uber cuando anunció el incumplimiento el mes pasado, diciendo que el incidente debería haber sido revelado a los reguladores en el momento en que fue descubierto, aproximadamente un año antes.

Aún no está claro quién tomó la decisión final de autorizar el pago al hacker y mantener la brecha en secreto, aunque las fuentes dijeron que el entonces CEO, Travis Kalanick, estaba al tanto de la violación y el pago de recompensas por errores en noviembre del año pasado.

Kalanick, quien renunció como CEO de Uber en junio, se negó a comentar sobre el asunto, según su portavoz.

Un pago de 100 mil dólares a través de un programa de recompensas sería extremadamente inusual, con un ex ejecutivo de HackerOne diciendo que representaría un “récord de todos los tiempos”.

Los profesionales de seguridad dijeron que premiar a un pirata informático que había robado datos también estaría fuera de las reglas normales de un programa de recompensas, donde los pagos son típicamente del rango de  5 mil a 10 mil dólares.

HackerOne aloja el programa de recompensas por errores de Uber, pero no lo gestiona, y no juega ningún papel para decidir si los pagos son adecuados o cuán grandes deben ser.

Noticias

Síguenos en redes