La empresa de transporte Uber llegó a un acuerdo con las fiscalías de todos los estados de Estados Unidos para pagar 148 millones de dólares en compensación por haber ocultado el robo masivo de datos de sus clientes en 2016. Además, la compañía pagó a los hackers para ocultar el robo a las autoridades durante más de un año. El acuerdo incluye la obligación a la empresa de hacer cambios en la manera en la que trata los fallos de seguridad y llega tras la investigación coordinada de 50 fiscalías estatales de EE UU.
En noviembre del año pasado, Uber reconoció que el robo de datos había afectado a 57 millones de cuentas. También reconoció que la anterior dirección de la compañía había pagado 100.000 dólares a los hackers que robaron la información para mantener en secreto los hechos. Además, lo ocultó deliberadamente presentándolo como si fuera un pago a hackers por haber descubierto fallos de seguridad.
La revelación llego pocos meses después de que Uber se deshiciera de su fundador y presidente, Travis Kalanick, y tras la llegada de un nuevo primer ejecutivo, Dana Khosrowshahi. . Junto con la admisión pública del escándalo, fue despedido Joe Sullivan, jefe de seguridad de Uber. Una de las misiones de Khosrowshahi es recuperar la imagen de la compañía, vista como un ejemplo de malas prácticas y desprecio por la regulación de Silicon Valley. El anterior equipo directivo mantuvo el robo oculto durante más de un año. “Esto no tendría que haber ocurrido. No hay excusas. Estamos cambiando nuestra forma de trabajar”, dijo entonces Khosrowshahi. “No podemos borrar el pasado, pero sí puedo comprometerme a aprender de los errores”.
[su_note note_color=»#e3e3e3″]La ocultación viola las normas sobre información de este tipo de situaciones, por lo que se iniciaron investigaciones contra Uber en Reino Unido, Australia, Filipinas y Estados Unidos. En abril, el regulador de Comercio de EE UU detalló que los datos robados por los piratas informáticos incluían 25,6 millones de nombres y direcciones de correo, 22,1 millones de nombres y números de teléfono y 607.000 licencias de conducir. Los datos estaban en un servidor gestionado por Amazon. Más de la mitad de los afectados viven en Estados Unidos.[/su_note]
La multa acordada es significativamente mayor que la que recibió la cadena de grandes almacenes Target en 2017. Reuters señala que aquel acuerdo, también con varias fiscalías de EE UU, fue de 18,5 millones. Fueron afectados 41 millones de clientes.
“La decisión de ocultar este robo fue una descarada violación de la confianza del público”, dijo el fiscal general de California, Xavier Becerra, en la presentación pública del acuerdo. “Las empresas en California y en todo el país son custodias de la valiosa información privada de sus clientes. Este acuerdo es una viso para todos de que les exigiremos responsabilidades sobre la protección de datos”. 147.000 de las licencias de conducir robadas a Uber eran de California.
El acuerdo es el primero, según la fiscalía, en el que la empresa es obligada a incorporar a su producto nuevas medidas de protección de privacidad para que no se repitan los hechos. El acuerdo obliga a “desarrollar, implementar y mantener” un programa de seguridad con un cargo ejecutivo ex profeso que reporte directamente al Consejo de Administración. La empresa está obligada a enviar informes de seguridad a las autoridades cada trimestre.
