lunes, 4 de mayo de 2015

Así se hackean las cuentas de Uber

Se descubre al fin el proceso con el cuál se han vulnerado las cuentas de algunos usuarios de Uber, dejando en claro que se trataría de una situación de seguridad relativamente ajena a la compañía, pero que vuelve necesario un movimiento precautorio por parte de cualquier usuario de este servicio.

Desde hace un par de meses habían surgido en la red una serie de reportes, que apuntaban a la venta en el mercado de negro de algunas cuentas de usuarios de Uber, para que el mejor postor pudiera explotarlas realizando viajes gratuitos cargados a la cuenta del afectado.

Ahora, gracias a un reportaje publicado por Motherboard, se conoce el proceso de esta actividad ilícita, relatada por un propio hacker, publicado bajo el pseudónimo de "Aaron", quien reveló que en sentido estricto Uber no habría sido vulnerado.

uber taxis

Se necesitaría de tres elementos: un archivo de configuración para atacar el sitio de acceso de Uber, un programa de crackeo de cuentas de ataque por fuerza bruta y alguna base de datos con combinaciones de usuarios y contraseñas que llevan circulando en el mercado negro de la red desde hace años, a raíz de episodios de hackeo a otros sitios, como sucedió con la cadena Liverpool en México.

Una vez teniendo todos los ingredientes simplemente se integra y configura todo para correr el programa haciendo pruebas con todas las credenciales de usuario-contraseña de las bases robadas de otros servicios, hasta dar con algún usuario que haya usado exactamente los mismos datos de acceso en el sitio vulnerado y en Uber.

El propio Aaron corrió una prueba con 50 usuarios de una base robada para obtener acceso a la cuenta de 2 clientes de Uber. Los propios portavoces de la compañía lanzaron una declaración al respecto, reafirmando este escenario, donde si bien no han modificado sus procesos de verificación de usuarios se deslindan atinadamente del incidente:

© AFP PHOTO/ QUIQUE GARCIA © AFP PHOTO/ QUIQUE GARCIA

Como ya hemos declarado anteriormente con este reporte específico no hemos encontrado ninguna evidencia de alguna brecha de seguridad en nuestro sistema, notificando a las autoridades correspondientes sobre los incidentes registrados. Esta es una buena oportunidad para recordar a los usuarios evitar el uso de las mismas credenciales para acceder a múltiples sitios y servicios.

En otras palabras, la mejor manera de prevenir un incidente de hackeo de nuestra cuenta de Uber consiste justamente en modificar nuestra contraseña, en caso de ser la misma que se utiliza para otros servicios que pudieron haber sido vulnerados.

No hay comentarios:

Publicar un comentario