Riders denuncien Uber per una atac cibernètic que va exposar les seves dades

Uber continua acumulant males notícies. L’Associació Unificada de Riders (AUR), un grup de repartidors que operen per a diferents aplicacions, ha presentat aquest dimarts una denúncia contra la multinacional nord-americana —a la qual EL PERIÓDICO ha tingut accés— per presumptament no haver notificat els ‘riders’ ni els clients d’un forat de seguretat que va exposar les seves dades personals.

La demanda, registrada davant l’Agència Espanyola de Protecció de Dades (AEPD), lamenta que Uber «no ha informat a nivell personal» els afectats per múltiples forats de seguretat. El més recent es va produir al setembre després d’un atac cibernètic que va afectar els sistemes de comunicació interns de la companyia. Tanmateix, la denúncia d’AUR apunta a una filtració massiva de dades que va exposar la informació confidencial de 57 milions de persones arreu del món, des dels seus noms i cognoms fins als seus documents nacionals d’identitat.

En el cas del 2016, Uber va pagar suposadament 100.000 dòlars als atacants perquè eliminessin les dades que havien robat i per silenciar el cas. La companyia va acabar admetent davant l’Oficina del Fiscal dels Estats Units que va actuar per «ocultar la seva filtració», que van destapar els mitjans un any més tard. Diversos països van obrir investigacions contra Uber per aquest abús, però Espanya no estava entre ells.

«Ens vam haver d’assabentar d’aquesta vulneració de les nostres dades per la premsa estrangera perquè Uber ens ho va ocultar», explica a aquest diari Fernando Roan, president d’AUR, que treballa perquè s’indemnitzi les víctimes d’aquestes filtracions. Es desconeix si entre els 57 milions d’afectats pel robatori de dades del 2016 hi ha repartidors que operen a Espanya.

Atac cibernètic al setembre

L’últim forat de seguretat d’Uber va ocórrer el mes de setembre passat. Segons va explicar ‘The New York Times’, un ciberdelinqüent va llançar un atac d’enginyeria social contra un dels empleats de l’empresa proveïdora de mobilitat. A través d’aquest empleat, va poder colar-se a Slack, el sistemes de comunicació intern que utilitza Uber. «Anuncio que soc un hacker i Uber ha patit una violació de dades», va dir l’atacant en un missatge enviat a tots els empleats de la companyia.

Notícies relacionades

Pagar per repartir en B: el mercadeig de comptes a Glovo i Uber repunta

Nova denúncia contra Uber per repartir amb falsos autònoms

Després d’aquesta notícia, Uber va llançar un missatge a Twitter: «Actualment estem responent a un incident de ciberseguretat. Estem en contacte amb les forces de seguretat i publicarem aquí actualitzacions addicionals quan estiguin disponibles».

We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.

— Uber Comms (@Uber_Comms) 16 de septiembre de 2022

Poc després, Uber va assegurar que l’atac cibernètic no havia aconseguit accedir a l’entorn de producció de l’empresa ni comprometre les bases de dades en les quals s’emmagatzema informació confidencial. La companyia va responsabilitzar de l’atac un actor afiliat a Lapsus$, un grup de cibercriminals experts en extorsió corporativa que l’any passat ja va colpejar empreses com Microsoft, Samsung o Nvidia.