Uber ha rivelato che il suo sistema è stato violato e sono stati rubati i dati di 57 milioni di account appartenenti ad autisti e passeggeri di tutto il mondo, e che la società ha tenuto segreta la vicenda per oltre un anno; secondo Bloomberg per evitare la diffusione di questa mole di dati personali, Uber avrebbe pagato un riscatto di 100 mila dollari.
Nello specifico sono stati rubati i nomi, le email e i numeri di telefono degli utenti, oltre ai numeri di patente degli autisti, mentre i numeri della carte di credito e dei conti bancari, i numeri della sicurezza sociale (l’equivalente del codice fiscale con il quale negli Usa è possibile assumere l’identità di una persona) e le date di nascita degli utenti non sarebbero stati violati.
Stando alle dichiarazioni di dipendenti ed ex dipendenti, l’accordo per il riscatto è stato organizzato dal capo della sicurezza della compagnia, Joe Sullivan, sotto la sorveglianza dell’ex amministratore delegato, Travis Kalanick. Sullivan, è stato licenziato, mentre Kalanick era stato costretto a dimettersi a giugno, anche se è poi rimasto nel consiglio di amministrazione di Uber.
La società di car sharing non si sarebbe limitata a pagare un riscatto, ma dopo aver rintracciato i colpevoli, avrebbe fatto firmare loro un accordo di non divulgazione, e avrebbe poi registrato l’esborso per il riscatto nei propri libri contabili, come versamento a favore di un consulente per la sicurezza della struttura hardware e software di Uber.
Non è la prima volta, questa, che Uber tace riguardo un attacco informatico ai suoi danni: già nel 2016 aveva dovuto pagare alle autorità un’ammenda di 20 mila dollari per non aver divulgato un attacco informatico subito nel 2014.
«Nel momento dell’incidente abbiamo aumentato la sicurezza e i controlli ai nostri account sul cloud», ha spiegato Dara Khosrowshahi, amministratore delegato di Uber, in quanto il furto è avvenuto entrando in una repository, la porzione di un sistema informativo dove vengono gestiti i metadati, sul servizio di hosting per progetti software GitHub: da lì gli hacker sono arrivati alle credenziali di accesso al server di cloud Amazon Web Services, da dove hanno rubato i dati degli autisti e passeggeri di Uber.
Una portavoce di GitHub ha dichiarato che il furto non è il risultato di un fallimento della sicurezza di GitHub.
«I furti digitali – ha dichiarato Rik Ferguson, Vice President Security Research di Trend Micro – non seguono le stesse regole di quelli del mondo fisico, non si possono “ricomprare i negativi”. È incoraggiante vedere il nuovo management condannare la violazione, ma rimango preoccupato da alcune parole di Khosrowshahi che sembra prendere le distanza dai servizi cloud di terze parti, per separare l’infrastruttura e il sistema corporate. Questo ci fa capire le radici del problema. I servizi cloud adottati da un’azienda, sono di fatto infrastrutture e servizi corporate, e da un punto di vista della security dovrebbero essere trattati come tali. Le responsabilità non si possono delegare all’esterno»