Alfonso Maruccia

Uber e la breccia taciuta del 2016

Il colosso del car sharing comunica ora di aver subito un attacco lo scorso anno e di aver pagato il pizzo agli hacker affinché non rendessero pubblico il fatto. Ma ora tutto è cambiato, rassicura il nuovo CEO

Roma - Una nuova tegola si abbatte sulla storia travagliata di Uber, azienda del car sharing che nel 2016 è stata attaccata e compromessa da hacker tutt'ora ignoti (o quantomeno non ancora svelati dalla società). A svelarlo è una comunicazione dello stesso Dara Khosrowshahi, il nuovo CEO della corporation che si è prefissato l'obiettivo di far dimenticare il (brutto) passato della compagnia e di proiettarla verso il business del futuro.


Khosrowshahi dice di "aver scoperto solo di recente" l'esistenza della breccia, calcolando i "danni" in 57 milioni di account compromessi: 7 milioni di autisti e 50 milioni di utenti delle app per la prenotazione delle corse. I dati rubati includono email, identificativi, numeri di telefono e anche 600.000 numeri di patente di altrettanti autisti attivi sul territorio statunitense.

Uber ci tiene a sottolineare che, nonostante la gravità dell'attacco, informazioni cruciali come quelle sulle corse degli utenti, i numeri di carta di credito o dell'assistenza sanitaria non risultano compromesse.
Meno rassicurante è invece il fatto che, come riportato da Bloomberg e dal New York Times, Uber ha pagato una somma di 100.000 dollari agli hacker per tenere segreto l'attacco e cancellare i dati trafugati. È da ricordare che nello stesso periodo l'azienda era impegnata in delicate negoziazioni con le agenzie federali statunitensi per questioni di privacy. La decisione di pagare gli hacker al fine di occultare quanto accaduto è stata presa dall'allora capo della sicurezza Joe Sullivan (ex CSO di Facebook prima di entrare in Uber), licenziato poi insieme ad uno dei suoi vice una volta emerso lo scandalo tra i vertici della compagnia. Da quanto emerge, però, Travis Kalanick (allontanato poi dal ruolo di CEO della società a giugno 2017) era venuto a conoscenza del fatto un mese dopo il pagamento, ma non era intervenuto con alcun provvedimento.

Khosrowshahi, che si è dato l'obiettivo di rinnovare Uber oltre gli scandali e le polemiche del recente passato, ha espresso sorpresa per aver scoperto l'esistenza della breccia solo un anno dopo e assicura: "una cosa del genere non dovrebbe mai succedere, e due responsabili della sicurezza sono stati già licenziati".

Stando alla dichiarazione rilasciata dal Presidente dell'Autorità Garante della Privacy Antonello Soro, tagliare le teste dei responsabili non è sufficiente: "Non possiamo che esprimere forte preoccupazione per la violazione subita da Uber, tardivamente denunciata dalla società americana. Abbiamo aperto un'istruttoria e stiamo raccogliendo tutti gli elementi utili per valutare la portata del data breach e le azioni da intraprendere a tutela degli eventuali cittadini italiani coinvolti. Quello che certo colpisce, in una multinazionale digitale come Uber, è l'evidente insufficienza di adeguate misure di sicurezza a protezione dei dati e quello che sconcerta è la scarsa trasparenza nei confronti degli utenti sulla quale indagheremo".

In merito alle responsabilità sulla violazione dei dati che ha colpito Uber, è intervenuto con toni accesi anche Rik Ferguson, Vice President Security Research di Trend Micro: "Non c'è dubbio che il precedente management e il team di security di Uber abbia fallito per quanto concerne le sue responsabilità verso i conducenti, la giustizia e soprattutto i clienti. E la lista è abbastanza lunga. Nonostante gli attaccanti possano essere stati messi a tacere, i furti digitali non hanno le stesse regole di quelli del mondo fisico, non si possono "ricomprare i negativi" una volta che i dati sono stati rubati. Il fatto incoraggiante è vedere il nuovo management condannare la violazione, ma rimango preoccupato da alcune parole citate nel blog di Khosrowshahi. Sembrerebbe prendere le distanza dai servizi cloud di terze parti, obiettivo della violazione, per separare nettamente l'infrastruttura e il sistema corporate. Questo ci fa capire le radici del problema. I servizi cloud adottati da un'azienda, sono di fatto infrastrutture e servizi corporate, e da un punto di vista della security dovrebbero essere trattati come tali. Le responsabilità non si possono delegare all'esterno".

Alfonso Maruccia

fonte immagine
Notizie collegate
  • AttualitàUber e il nuovo galateo di KhosrowshahiIl neo-eletto CEO della startup del car sharing si prende l'impegno di "fare la cosa giusta", stabilendo per i suoi dipendenti delle nuove regole comportamentali nella speranza che una rinata Uber faccia dimenticare gli scandali del recente passato e le difficoltà del presente
  • TecnologiaUber, taxi volanti in tre anniLa società del car sharing annuncia importanti novità sul fronte del "taxi volanti", un progetto che a quanto pare si farà e pure piuttosto in fretta. Con la garanzia di NASA, i prototipi voleranno anche a Los Angeles
6 Commenti alla Notizia Uber e la breccia taciuta del 2016
Ordina
  • ... Stando alla dichiarazione rilasciata dal Presidente dell'Autorità Garante della Privacy Antonello Soro, tagliare le teste dei responsabili non è sufficiente: ...


    Ha ragione, questa è di sicuro una violazione della legge europea e mi sa che anche quella americana per quanto debole preveda l'avviso obbligatorio delle brecce. Uber è passibile di multa in parecchi paesi.
    non+autenticato
  • 1) Gli hacker cattivi entrano nei sistemi e sottraggono i dati.
    2) Uber paga un riscatto, perche'?

    a) perche' non ha i backup e rivuole i dati indietro
    b) perche' non vuole che gli hacker cattivi li rivendano a terzi

    Nel primo caso non commento. 7000 caratteri non sono sufficienti a lanciare i giusti insulti e maledizioni.

    Nel secondo caso, che cosa si sono bevuti? Si fidano degli hacker cattivi che dopo aver incassato il riscatto non rivendono i dati comunque?
  • - Scritto da: panda rossa
    > 1) Gli hacker cattivi entrano nei sistemi e
    > sottraggono i
    > dati.

    Entrano nei sistemi GNU/Linux, specifichaimo

    > 2) Uber paga un riscatto, perche'?

    C'è scritto nell'articolo che non leggi

    >
    > a) perche' non ha i backup e rivuole i dati
    > indietro

    Panda Rossa, Panda Rossa, è da anni che ci svanghi i maroni che la copia digitale non è un furto e adesso non riesci ad immaginare uno scenario diverso dal quello che glieli abbiano sottratti?


    > b) perche' non vuole che gli hacker cattivi li
    > rivendano a
    > terzi
    >

    Ecco, ci avviciniamo. E non tanto per i dati, ma perché non venga sputtanata

    > Nel primo caso non commento. 7000 caratteri non
    > sono sufficienti a lanciare i giusti insulti e
    > maledizioni.

    Dall'alto del pulpito si lanciano facilmente di solito

    >
    > Nel secondo caso, che cosa si sono bevuti? Si
    > fidano degli hacker cattivi che dopo aver
    > incassato il riscatto non rivendono i dati
    > comunque?

    Non lo so, visto che hanno rubato i tuoi di dati dovresti dircelo tu se hai ricevuto cose strane.

    In entrambi i casi il problmea non si pone, la Raggi ci ha detto che dobbiamo prendere i tassì a Roma.
    non+autenticato
  • - Scritto da: panda rossa
    > 1) Gli hacker cattivi entrano nei sistemi e
    > sottraggono i
    > dati.
    > 2) Uber paga un riscatto, perche'?
    >
    > a) perche' non ha i backup e rivuole i dati
    > indietro
    > b) perche' non vuole che gli hacker cattivi li
    > rivendano a
    > terzi
    >
    > Nel primo caso non commento. 7000 caratteri non
    > sono sufficienti a lanciare i giusti insulti e
    > maledizioni.
    >
    > Nel secondo caso, che cosa si sono bevuti? Si
    > fidano degli hacker cattivi che dopo aver
    > incassato il riscatto non rivendono i dati
    > comunque?

    Per una volta sono d'accordo con te. Rimane solo una risposta possibile:

    ... tenere segreto l'attacco ...

    Il che è una esplicita violazione della legge.
    non+autenticato
  • - Scritto da: e9c7bab35b2

    > Per una volta sono d'accordo con te. Rimane solo
    > una risposta
    > possibile:
    >
    > ... tenere segreto l'attacco ...
    >
    > Il che è una esplicita violazione della legge.

    Quindi hanno pagato, sono stati sputtanati uguale, e hanno pure fatto la figura dei coglioni perche' hanno pagato.
  • - Scritto da: panda rossa
    > 1) Gli hacker cattivi entrano nei sistemi e
    > sottraggono i
    > dati.
    > 2) Uber paga un riscatto, perche'?
    >
    > a) perche' non ha i backup e rivuole i dati
    > indietro
    > b) perche' non vuole che gli hacker cattivi li
    > rivendano a
    > terzi
    >
    > Nel primo caso non commento. 7000 caratteri non
    > sono sufficienti a lanciare i giusti insulti e
    > maledizioni.
    >
    > Nel secondo caso, che cosa si sono bevuti? Si
    > fidano degli hacker cattivi che dopo aver
    > incassato il riscatto non rivendono i dati
    > comunque?

    Ma non capisci pulcino mio? E' solo una manovra dei poteri forti per distrarci dal vero problema! Cioè che Android ci spia! Tra l'altro i tuoi commenti sono stati illuminanti pulcino mio! Innamorato

    http://punto-informatico.it/4414955/PI/News/google...
    non+autenticato