L’ultimo scandalo a coinvolgere la società di trasporti privati potrebbe essere il peggiore.
di Martin Giles
Uber ha intrapreso diverse strade sbagliate negli ultimi anni, ma l’ultima è certamente una delle più dannose. Bloomberg rivela che la società ha celato per più di un anno un massiccio furto di dati che avrebbe esposto informazioni sensibili di milioni di conducenti e clienti. La violazione, avvenuta nell’ottobre 2016, sarebbe stata omessa dal Chief Security Officer di Uber, Joe Sullivan, e da altri suoi collaboratori. Sullivan ed uno dei suoi rappresentanti sono stati cacciati dalla società. Travis Kalanick, cofondatore ed ex CEo della società, era stato informato della violazione molto tempo dopo.
In un annuncio stampa pubblicato poco dopo l’uscita dell’articolo di Bloomberg, l’attuale CEO di Uber, Dara Khosrowshahi, ha detto che gli hacker erano riusciti a scaricare i file contenenti un importante quantitativo di informazioni, inclusi i nomi e le licenze di quasi 600.000 conducenti negli Stati Uniti, oltre alle informazioni personali, quali nome, indirizzo email e numero telefonico di 57 milioni di utenti Uber in tutto il mondo. La società dice che gli esperti forensi esterni, chiamati per analizzare la violazione, non hanno individuato alcuna prova che informazioni inerenti carte di credito, conti correnti e numeri di social security siano stati scaricati. Non è detto, però, che queste informazioni non siano state assolutamente violate.
Come negli ultimi casi di massicci attacchi hacker, nelle prossime settimane emergeranno sicuramente ulteriori dettagli. Sorgono però spontanei diversi interrogativi che richiedono risposte rapide. Che, all’interno di Uber, era al corrente dell’attacco hacker? Quante persone sono state coinvolte nella sua copertura, che ha comportato il pagamento di un riscatto di $100.000 perché gli hacker eliminassero i dati e non lasciassero trapelare la notizia? Nessun membro del consiglio di amministrazione è stato informato al tempo? Se no, perché? E per quale motivo Uber ha omesso una simile violazione ai regolatori?
Il rapporto di Bloomberg sostiene che Uber fosse già in contatto con i regolatori negli Stati Uniti per alcune violazioni della privacy separate e avesse appena raggiunto un accordo con la Federal Trade Commission sulla gestione scorretta dei dati dei consumatori. Il mese scorso, il consiglio di amministrazione dell’azienda aveva avviato una indagine sulle attività del team di Sullivan. Sarebbe stato proprio lo studio legale a capo di questa indagine a svelare la violazione e la sua copertura.
L’attacco in questione solleva diverse perplessità sulle pratiche di Uber nel merito della sicurezza informatica. Secondo Bloomberg, gli intrusi sarebbero riusciti a individuare le credenziali di accesso lasciate da alcuni ingegneri Uber su Github, un deposito codici ampiamente utilizzato, grazie alle quali sarebbero riusciti ad accedere al server Amazon nel cloud che conteneva i dati. Si tratterebbe di una sconvolgente violazione alla base della sicurezza informatica. Il fatto che un quantitativo simile di informazioni personali sensibili fosse finito nelle mani di una società terza senza particolari forme di crittografia è anch’esso sconcertante.
Uber è ora impegnata a limitare i danni alla sua reputazione. La società ha assunto un ex consigliere generale della NSA per rivedere le sue pratiche di sicurezza ed ha ingaggiato Mandiand, una società di sicurezza informatica che ha gestito le ricadute di diverse violazioni di alto livello. Khosrowshahi ha appreso solo recentemente di questa violazione. “Niente di tutto ciò sarebbe dovuto accadere, e non intendo giustificarlo”. Anche il comportamento e le pratiche che hanno portato a questo fiasco, però, sono ingiustificabili.
(MO)
