Las autoridades de Gran Breta帽a y los Pa铆ses Bajos multaron a Uber europeo con $ 1.2 millones por la filtraci贸n de datos personales de 7 millones de conductores y 57 millones de pasajeros en 2016. Incluyendo informaci贸n sobre 2.7 millones de pasajeros y 82 mil conductores del Reino Unido y 174 mil ciudadanos holandeses fueron robados. A modo de comparaci贸n, en el Uber, Uber acord贸 pagar $ 148 millones por un acuerdo previo al juicio.
La informaci贸n comprometida conten铆a nombres, direcciones de correo electr贸nico y n煤meros de tel茅fono, as铆 como 600 mil n煤meros de licencias de conducir estadounidenses.
Perm铆tame recordarle que en octubre de 2016, Uber pag贸 a un atacante, que result贸 ser un estadounidense de 20 a帽os, que pagara $ 100 mil por eliminar datos, y no promocion贸 el robo de datos personales.
El p煤blico en general se dio cuenta de este incidente el 21 de noviembre de 2017, cuando el nuevo jefe de Uber Dara Khosrovshahi hizo una declaraci贸n. Dijo que no hab铆a pirateo en el sistema interno de TI de la compa帽铆a. Seg煤n 茅l, la compa帽铆a utiliza un servicio de almacenamiento en la nube de terceros, en el que se public贸 la informaci贸n robada y a la que tuvo acceso el ransomware.
En este caso particular, estamos hablando de dos servicios en la nube a la vez: GitHub y Amazon Web Services (AWS). GitHub es el mayor servicio colaborativo de desarrollo y almacenamiento de c贸digo fuente en el que los desarrolladores de Uber guardaron las claves de acceso a la cuenta de su empresa en AWS. Dado que el repositorio de c贸digo fuente est谩 abierto, cualquiera podr铆a obtener informaci贸n para acceder a los datos de Uber almacenados en la nube de Amazon. Habiendo obtenido acceso a AWS usando una clave de GitHub, un atacante descarg贸 16 archivos con datos personales desde all铆. Sobre la prevenci贸n de fugas de datos en GitHub, escribimos un art铆culo separado sobre Habr茅 .
Cabe se帽alar que estas multas fueron impuestas por las autoridades brit谩nicas y holandesas incluso antes de la entrada en vigor del Reglamento General de Protecci贸n de Datos (GDPR).
Las noticias peri贸dicas sobre casos individuales de fugas de datos se publican r谩pidamente en el canal Fugas de informaci贸n .