UBER VIENE DERUBATA DEI DATI PERSONALI DEI CLIENTI E DRIVER. CERCA DI PAGARE UN RISCATTO PER INSABBIARE L’ACCADUTO MA QUALCOSA VA STORTO.
E’ stato senza alcun dubbio lo scandalo dell’anno, ed uno dei momenti più importanti per ciò che riguarda il rapporto tra aziende e sicurezza web. Pensavamo di sapere tutto sul caso Uber, eppure ci sono ancora molti aspetti da chiarire in questa storia, che ha messo il colosso californiano in un mare di guai, che del resto sembra seguano Uber fin dal 2009, anno della sua fondazione.
Tutto è cominciato nell’ottobre del 2016, quando due hackers si sono introdotti nel sito dell’azienda, appropiandosi dei dati di oltre 57 milioni di persone tra clienti ed autisti: nomi, email, numeri di telefono e sopratutto i dati di oltre 600.000 patenti americane.
Si è dovuto aspettare il 21 novembre di quest’anno, per vedere la Uber ammettere la cosa, precisando subito però che i dati relativi a conti bancari e carte di credito non sarebbero stati intaccati.
Ma come è successo? A quanto ha dichiarato l’agenzia Bloomberg, gli hackers avrebbero scoperto che la Uber aveva pubblicato il codice con le loro credenziali all’interno del sito Github, famoso per essere uno dei migliori per ciò che riguarda progetti software futuribili.
Non un errore così “raro” (almeno stando al parere di diversi esperti del settore) ma che ha permesso ai due in qualche modo di impadronirsi dell’account privato iniziale.
A questo punto gli hackers hanno mandato una email ad Uber, chiedendo il pagamento di 100mila dollari in cambio della cancellazione dei dati sequestrati, naturalmente garentendo di non diffondere la notizia dell’attacco.
Uber (stando ad un reportage realizzato per il New York Times da Mike Isaac, Katie Benner e Sheera Frenkel) sarebbe poi risalita alla vera identità dei due hackers, chiedendo loro di firmare un accordo di riservatezza, pagandoli tramite un simulato Bug Bounty, una ricompensa che viene elargita a chi segnala una vulnerabilità.
Una soluzione che da una parte garantiva silenzio e credibilità, dall’altra soldi e nessuna denuncia pendente.
Ed è qui che nasce il vero problema per Uber. Perché non denunciare il fatto ha reso Uber perseguibile per una marea di reati in base alle leggi sia federali che statali, e la California (patria di internet, della new economy e via dicendo) è molto severa con i reati cibernetici.
A poche ore dalla divulgazione del fatto infatti, il procuratore di New York ha aperto un’indagine federale, già si prospetta una class action da parte di molti clienti e brutte nuove sono arrivate anche dalla Commissione Federale per il Commercio, che già aveva messo sotto la lente d’ingrandimento Uber per un caso simile risalente al 2014.
Dalla Gran Bretagna anche la National Crime Agency e il National Cyber Security Centre si sono mossi, e non si può dire che il nostro Garante per la Privacy, nelle vesti del Presidente Antonello Soro, sia rimasto a guardare (dichiarazioni del Presidente del Garante della Privacy).
“Abbiamo aperto un’istruttoria e stiamo raccogliendo tutti gli elementi utili per valutare la portata del data breach e le azioni da intraprendere a tutela degli eventuali cittadini italiani coinvolti” ha dichiarato Soro “Quello che certo colpisce, in una multinazionale digitale come Uber, è l’evidente insufficienza di adeguate misure di sicurezza a protezione dei dati e quello che sconcerta è la scarsa trasparenza nei confronti degli utenti sulla quale indagheremo”.
A farne le spese sono stati il co-fondatore e amministratore delegato Traivs Kalanick e il responsabile per la sicurezza Joe Sullivan. Sarebbero stati loro infatti a delineare l’accordo con gli hackers e anche il direttore degli affari legali Craig Clark sarebbe rimasto coinvolto.
Kalanick si è visto esautorare dall’incarico di vertice nella Uber, Sullivan e Clark sono stati licenziati.
Il nuovo numero uno di Uber, Dara Khosrowshahi, si ritrova quindi ora con una marea di cause e una reputazione che appare compromessa nel profondo. Uber infatti è più volte finita al centro di numerosi scandali legati a tangenti, uso di software illeciti, scandali sessuali, guerre di prezzi senza precedenti e furto di proprietà intellettuali.
Quest’attacco non è che l’ultimo di una lunga serie, basti pensare a ciò che è successo a Yahoo nel 2013, a ciò che è successo alla Equifax, alla Sony o a quelli che hanno colpito la NSA.
Ora Khosrowshahi ha deciso di correre ai ripari, assumendo l’ex consigliere generale della NSA e direttore del Centro Antiterrorismo Matt Olsen, nonché affidato alla Mandiant (ditta dedita ala cibersicurezza) di indagare sull’attacco degli hacker, per evitare che ciò si ripeta in futuro.
“Non ci sono scuse” ha ammesso affranto Khosrowshahi “non sarebbe dovuto accadere. Stiamo monitorando gli account interessati e li abbiamo segnalati per una ulteriore protezione. In ogni caso fino a ora non ci sono state violazioni e non è stato fatto un uso improprio dei dati trafugati”. “Anche se non posso cancellare il passato, posso dire a nome di ogni dipendente Uber che impareremo dai nostri errori” ha sottolineato Khosrowshahi.
Non a caso proprio questo anno entrerà in vigore il nuovo regolamento europeo sulla privacy che tutelerà di più gli utenti e garantirà un sistema più sicuro e rispettoso del trattamento riservato a quest’ultimi. Se vuoi sapere del nuovo regolamento e cosa c’è di nuovo puoi leggere il nostro approfondimento.
Se invece vuoi sapere come adeguare la tua azienda al nuovo regolamento per non incorrere in severe sanzioni amministrative puoi leggere la nostra sezione dedicata e scaricare la checklist sul trattamento dei dati personali.