La Asociación Unificada de Riders (AUR), un grupo de repartidores que operan para distintas aplicaciones. El pasado martes presentó una denuncia contra la multinacional estadounidense Uber por no haber notificado a los “riders” ni a los clientes de una brecha de seguridad que expuso los datos personales. La demanda registrada anta la Agencia Española de Protección de Datos (AEPD), lamenta que Uber “no ha informado a nivel personal” a los afectados por un ciberataque que el pasado septiembre logró afectar a los sistemas internos de la compañía. Este ciberataque ha supuesto la filtración de datos personales confidenciales como nombres, apellidos, documentos nacionales de identidad, números de cuenta… tanto de repartidores como de clientes.
Según explicó el periódico “The New York Times”, un ciberdelincuente lazó un ataque de ingeniería social contra uno de los empleados de la empresa proveedora de movilidad. A través de ese empleado, se coló en Slack, sistema de comunicación interno que usa la compañía Uber. “Anuncio que soy un hacker y Uber ha sufrido una violación de datos”, dijo el atacante en un mensaje enviado a todos los empleados de la compañía.
En el año 2016 Uber sufrió un ataque parecido, pero en este caso, Uber llegó a pagar supuestamente 100.000 dólares a los atacantes para que eliminasen los datos que habían robado además de pedirle el silencio de la situación para que la gente no se enterase. La compañía terminó admitiendo que la Oficina Fiscal de Estados Unidos actuó para “ocultar la filtración”, un año más tarde fueron los propios medios quienes destaparon a la compañía. Varios países abrieron una investigación contra Uber por ese abuso, pero España no estaba entre ellos.
Poco después, Uber aseguró que el ciberataque no había logrado acceder al entorno de producción de la empresa ni comprometer la base de datos en la que se almacena información confidencial. La compañía responsabilizó del ataque a un actor afiliado a Lapsus$, un grupo de cibercriminales expertos en extorsión corporativa que el año pasado ya golpeó a empresas como Microsoft, Samsung o Nvidia. No obstante, en la denuncia de AUR, la asociación aseguró que Uber no llegó a contactar ni con los repartidores ni con los clientes afectados por la brecha de seguridad para notificarles de lo ocurrido.