QR code per la pagina originale

Uber: furto massivo di dati, pagato il riscatto

Nel 2016 due cracker hanno sottratto informazioni personali e riservate dai database di Uber: il gruppo ha messo tutto a tacere pagando un riscatto.

,

Nuova grana per Uber: il colosso del ride sharing ha nascosto per oltre un anno di essere stato colpito nell’ottobre 2016 da un enorme furto di dati. Si parla di informazioni personali come nomi, indirizzi e numeri di telefono riguardanti 57 milioni di iscritti, tra utenti e autisti. Il database sottratto conteneva anche i dettagli relativi a 600.000 patenti di guida statunitensi.

Il riscatto

Per mettere tutto a tacere ed evitare che le informazioni venissero rese pubbliche o utilizzate in modo fraudolento, Uber ha pagato un riscatto di 100.000 dollari, sottostando così alla richiesta dei cracker. L’incidente è avvenuto proprio nel periodo in cui il gruppo, allora sotto il comando di Travis Kalanick, era finito sotto la lente d’ingrandimento delle autorità americane per potenziali violazioni della privacy. Viene reso noto solo oggi, poiché l’azienda è legalmente obbligata a comunicare quanto avvenuto agli autisti interessati dal furto di dati, senza però rivelare l’identità dei responsabili. A intervenire sulla delicata vicenda il nuovo CEO, Dara Khosrowshahi.

Niente di tutto questo avrebbe dovuto accadere e non me ne scuserò. Stiamo cambiando il modo di fare business.

Immediatamente in seguito al trapelare della notizia il procuratore generale di New York, Eric Schneiderman, ha avviato un’indagine per far luce sulla questione. Già indetto anche un tentativo di class action per negligenza da parte degli utenti. Stando alle informazioni finora svelate, Travis Kalanick avrebbe appreso dell’attacco il mese successivo, dunque nel novembre 2016, proprio mentre Uber era in fase di trattativa con la Federal Trade Commission per le modalità di gestione dei dati personali.

L’attacco

La sottrazione è stata opera di due cracker, che dapprima hanno effettuato l’accesso a un profilo GitHub privato utilizzato da due ingegneri software del gruppo. Poi, una volta messo mano ai codici di autenticazione, sono arrivati ai database ospitati su Amazon Web Services contenenti dati su utenti e guidatori. Una volta scaricato il pacchetto hanno inviato un’email allegando la richiesta del riscatto. Uber ammette di non aver riportato il furto ai diretti interessati, come invece previsto dalle leggi federali. Non vi sono prove circa un utilizzo fraudolento o una diffusione pubblica delle informazioni.

Le prime teste a saltare sono state quelle di Joe Sullivan, ormai ex Security Chief (fino al 2015 al servizio di Facebook e ancor prima procuratore federale), e del suo collaboratore Craig Clark, su pressioni esercitate dal nuovo CEO. Via anche Salle Yoo, Chief Legal Officer, a quanto pare all’oscuro della vicenda. Dara Khosrowshahi non nasconde la gravità di quanto accaduto.

Sebbene non possa cancellare il passato, posso assicurare per conto di ogni dipendente Uber che impareremo dai nostri sbagli.

Fonte: Bloomberg • Notizie su: ,