Hanno rubato i dati personali di 57 milioni di clienti e conducenti di Uber Technologies Inc. , una grave violazione che la società ha nascosto per più di un anno. L’azienda ha licenziato il suo capo della sicurezza e uno dei suoi vice dai loro ruoli di controllori della sicurezza; sono coloro che hanno poi deciso di pagare addirittura $ 100.000 agli aggressori.
I dati compromessi dall’attacco dell’ottobre 2016 comprendevano nomi, indirizzi e-mail e numeri di telefono di 50 milioni di utenti Uber in tutto il mondo. È stato inoltre possibile accedere alle informazioni personali di circa 7 milioni di conducenti, inclusi circa 600.000 numeri di patenti degli Stati Uniti. Non sembra siano stati rubati numeri di previdenza sociale, informazioni sulla carta di credito, dettagli sui viaggi o altri dati, ha detto Uber.
Al momento del furto, Uber stava negoziando con i controllori statunitensi che indagavano su violazioni della privacy. Uber aveva l’obbligo legale di segnalare il furto di dati ai controllori e ai conducenti i cui numeri di licenza erano stati rubati. Invece, la società ha pagato gli attacker per eliminare i dati e mantenere il silenzio sulla violazione. Uber ha precisato che è convinta che le informazioni trafugate non siano mai state usate o vendute, ma ha comunque rifiutato di rivelare le identità degli attaccanti.
“Tutto ciò non avrebbe dovuto accadere e non cercherò scuse per questo”, ha detto Dara Khosrowshahi, che ha assunto la carica di amministratore delegato a settembre. “Stiamo però cambiando il modo in cui trattiamo i nostri affari”.
Dopo la rivelazione di Uber, il procuratore generale di New York, Eric Schneiderman, ha avviato un’indagine sul furto. La società è stata anche citata in giudizio per negligenza da parte di un cliente che vuole avviare una class action contro l’azienda.
Gli attacker si sono infiltrati con successo in numerose aziende negli ultimi anni. La violazione di Uber, è a livello dei furti subiti da Yahoo, MySpace, Target Corp., Anthem Inc. e Equifax Inc. Ciò che è più allarmante sono le misure estreme che Uber ha preso per nascondere l’attacco.
Come hanno rubato i dati a Uber
Due attacker hanno avuto accesso a un sito di codifica GitHub privato utilizzato dagli ingegneri del software Uber e hanno utilizzato le credenziali di accesso che hanno ottenuto per entrare su dei database di dati archiviati su un account Amazon Web Services che gestiva le attività di elaborazione per l’azienda. Da lì, i ladri hanno scoperto un archivio di informazioni su chi guidava le auto. Più tardi, hanno inviato una email a Uber per chiedere un riscatto, questo è quanto è stato detto dalla compagnia.
Un mosaico di leggi statali e federali impone alle aziende di avvisare le persone e le agenzie governative in caso di violazioni di dati sensibili.
“Al momento dell’incidente, abbiamo preso tutte le misure atte a proteggere i dati e chiudere ulteriori accessi non autorizzati da parte di estranei”, ha detto Khosrowshahi. “Abbiamo anche implementato misure di sicurezza per limitare l’accesso e rafforzare i controlli sui nostri account di archiviazione basati su cloud.”
Uber si è guadagnata una brutta reputazione nel rispettare i regolamenti nelle aree in cui ha operato dalla sua fondazione nel 2009. Gli Stati Uniti hanno aperto almeno cinque indagini su possibili tangenti, software illecito e furto di proprietà intellettuale. L’azienda con sede a San Francisco deve affrontare anche decine di cause civili.
Anche le autorità britanniche, compresa l’Agenzia nazionale per la criminalità, stanno esaminando la portata della violazione dei dati. Londra e altri governi hanno in precedenza preso provvedimenti per vietare il servizio Uber, per ora senza riuscirci.
Uber ora ha assunto come consulente Matt Olsen, ex consigliere generale presso la National Security Agency e direttore del National Counterterrorism Center. Aiuterà la società a ristrutturare i suoi team di sicurezza. Uber ha inoltre assunto Mandiant, una società di sicurezza informatica di proprietà di FireEye Inc. , per indagare sull’hack.
La società ha rilasciato una dichiarazione ai clienti dicendo di non aver visto “alcuna prova di frode o uso improprio legato all’incidente”. Uber ha detto che fornirà agli autisti le cui licenze sono state rubate la protezione del credito e la protezione dal furto di identità.