Más secretos en Uber: escondió un fallo en el sistema de verificación en dos pasos
— 23 enero, 2018La compañía no informó sobre un error que inhabilitó la verificación en dos pasos de las cuentas de los usuarios porque no lo consideró «particularmente severo».
Los secretos aumentan. Después de que Uber ocultara un ciberataque que comprometió los datos de 57 millones personas en 2016, el servicio de transporte ha vuelto a esconder un fallo de seguridad que ha provocado que el sistema de verificación en dos pasos de las cuentas se inhabilitara. El segundo filtro de seguridad pudo hackearse fácilmente, por lo que esta medida sería inútil para los usuarios, explicó Karan Saini, el investigador de seguridad que encontró el error.
Además de no informar sobre la vulnerabilidad, Uber ha minimizado el asunto. El investigador, cuando encontró el fallo, mandó los resultados a la compañía, la cual respondió que el problema no era «particularmente severo» y que marcaba el informe como informativo, lo que significa que no es necesaria una actuación inminente, informó ZDNet.
Uber empezó a implementar la verificación de la cuenta en dos pasos en 2015, aunque la función de seguridad no está disponible para todos los usuarios, solamente para los que se consideren «sospechosos» según el servicio de transporte. Sin embargo, aquellos a los que se les envió el código de autenticación por mensaje de texto para verificar su cuenta no han tenido un sistema más seguro. El error ha provocado que cualquiera pueda iniciar sesión con el correo electrónico y la contraseña, sin poder agregar otras medidas que brinden más seguridad.
De esta manera, un exploit ha puesto en jaque la seguridad de los usuarios y sus datos personales. A pesar de que Uber afirmó que no era un problema urgente, la compañía afirmó que había corregido el error y que se estaba trabajando en una solución. Al parecer, el informe de Karan Saini no ha sido el único y la plataforma ha sido informada en otras ocasiones sobre este fallo. La portavoz de Uber, Melanie Ensign, añadió que el error «probablemente sea causado por las pruebas en curso del equipo de seguridad para evaluar y refinar la efectividad de diferentes técnicas» con el objetivo de asegurar las cuentas.
El problema radica en que si unas cuantas personas, entre ellas el investigador Saini, han podido encontrar el fallo de seguridad que inhabilita la verificación en dos pasos, significa que muchas más pudieron haberlo identificado. En lugar de informar a la compañía, algunos ciberdelincuentes podrían haber utilizado los datos de forma inadecuada, poniendo en peligro la seguridad de los usuarios de la aplicación. Hasta ahora, no se han dado detalles sobre el número de personas que podrían haber sido afectadas por el exploit.
Esta vulnerabilidad se une al hackeo masivo de Uber en octubre de 2016, el cual fue escondido por la compañía. Además, Uber pagó a los ciberdelincuentes 100.000 dólares para solucionar el problema, pero en ningún momento informó a las autoridades ni a los usuarios cuyos datos habían sido robados. Por ello, el servicio de transporte está haciendo frente a varias denuncias e investigaciones por esconder la violación de millones de datos.