¿Cómo me hackearon Uber?

El sábado de noche llegaba a mi hermano un correo de Uber con un viaje realizado en Santo Domingo, mientras él estaba acá, en Montevideo.

Un viaje inesperado

“Qué bien que anda Uber” es el sentir general cuando uno habla con algún usuario de la polémica aplicación. El sentimiento no es el mismo cuando recibís un correo descontando de tu tarjeta un viaje completo, atravesando la isla de República Dominicana a miles de kilómetros de donde estás.

Factura Uber

Ésta vez le pasó a mi hermano, a quien llegó el correo que ven arriba, computándole un viaje de 3 horas por $ 4.646 pesos dominicanos, unos $ 100 dólares estadounidenses.

Por suerte, la historia tiene final feliz. Luego de varios correos y llamadas en la madrugada del domingo, con personal de seguridad de Uber (local y extranjero), se llegó a la devolución del importe a la tarjeta de crédito.

Igualmente parece interesante destacar que durante ese intercambio de reclamos, el personal de Uber planteó la posibilidad de comunicarnos directamente con el conductor del viaje, lo cual no parece una buena solución, ya que quizás haya sido el propio conductor quien se atribuye para sí un viaje inexistente, generando el costo del mismo a su favor.

¿Qué pasó? o mejor, ¿Qué suponemos que pasó?

Después de darle vueltas a cómo se podían haber hecho de la cuenta de Uber, todo parece indicar que se debe a que la contraseña usada en Uber era la misma que mi hermano utiliza para LinkedIn.

Como algunos sabrán en 2012, la red social profesional sufrió un ataque que dejó expuestas 6.5 millones de contraseñas. Durante 4 años esa información estuvo fuera del conocimiento público, hasta que en mayo de este año se supo que la cifra en realidad fue de más de 117 millones de cuentas vulneradas, siendo la segunda mayor filtración de la historia, luego de la de MySpace en 2008.

Esta información se puso a la venta en el “mercado negro” de Internet, o la Dark Web, y así habría llegado a manos del viajero de Santo Domingo. Producto de la misma filtración, Mark Zuckerberg vio cómo hace 15 días le ingresaban a sus cuentas de Twitter y Pinterest.

Reutilizar las mismas contraseñas para muchas cuentas es una decisión cada vez menos inteligente. Por eso es importante contar con un buen administrador de contraseñas. Para saber si tu cuenta fue una de las publicadas en éste u otro hackeo, pueden consultar el sitio Have I been pwned?.

Se trata de una teoría y no tenemos confirmado que así fuera pero por las dudas, ya saben, a cambiar la contraseña de LinkedIn y a activar la verificación de dos pasos.

Dejá tu comentario