Una nuova tegola si abbatte sulla storia travagliata di Uber , azienda del car sharing che nel 2016 è stata attaccata e compromessa da hacker tutt’ora ignoti (o quantomeno non ancora svelati dalla società). A svelarlo è una comunicazione dello stesso Dara Khosrowshahi , il nuovo CEO della corporation che si è prefissato l’obiettivo di far dimenticare il (brutto) passato della compagnia e di proiettarla verso il business del futuro .
Khosrowshahi dice di “aver scoperto solo di recente” l’esistenza della breccia, calcolando i “danni” in 57 milioni di account compromessi : 7 milioni di autisti e 50 milioni di utenti delle app per la prenotazione delle corse. I dati rubati includono email, identificativi, numeri di telefono e anche 600.000 numeri di patente di altrettanti autisti attivi sul territorio statunitense.
Uber ci tiene a sottolineare che, nonostante la gravità dell’attacco, informazioni cruciali come quelle sulle corse degli utenti, i numeri di carta di credito o dell’assistenza sanitaria non risultano compromesse .
Meno rassicurante è invece il fatto che, come riportato da Bloomberg e dal New York Times , Uber ha pagato una somma di 100.000 dollari agli hacker per tenere segreto l’attacco e cancellare i dati trafugati . È da ricordare che nello stesso periodo l’azienda era impegnata in delicate negoziazioni con le agenzie federali statunitensi per questioni di privacy. La decisione di pagare gli hacker al fine di occultare quanto accaduto è stata presa dall’allora capo della sicurezza Joe Sullivan ( ex CSO di Facebook prima di entrare in Uber), licenziato poi insieme ad uno dei suoi vice una volta emerso lo scandalo tra i vertici della compagnia. Da quanto emerge, però, Travis Kalanick ( allontanato poi dal ruolo di CEO della società a giugno 2017) era venuto a conoscenza del fatto un mese dopo il pagamento, ma non era intervenuto con alcun provvedimento.
Khosrowshahi, che si è dato l’obiettivo di rinnovare Uber oltre gli scandali e le polemiche del recente passato, ha espresso sorpresa per aver scoperto l’esistenza della breccia solo un anno dopo e assicura: “una cosa del genere non dovrebbe mai succedere, e due responsabili della sicurezza sono stati già licenziati”.
Stando alla dichiarazione rilasciata dal Presidente dell’Autorità Garante della Privacy Antonello Soro, tagliare le teste dei responsabili non è sufficiente : “Non possiamo che esprimere forte preoccupazione per la violazione subita da Uber, tardivamente denunciata dalla società americana. Abbiamo aperto un’istruttoria e stiamo raccogliendo tutti gli elementi utili per valutare la portata del data breach e le azioni da intraprendere a tutela degli eventuali cittadini italiani coinvolti. Quello che certo colpisce, in una multinazionale digitale come Uber, è l’evidente insufficienza di adeguate misure di sicurezza a protezione dei dati e quello che sconcerta è la scarsa trasparenza nei confronti degli utenti sulla quale indagheremo”.
In merito alle responsabilità sulla violazione dei dati che ha colpito Uber, è intervenuto con toni accesi anche Rik Ferguson, Vice President Security Research di Trend Micro: “Non c’è dubbio che il precedente management e il team di security di Uber abbia fallito per quanto concerne le sue responsabilità verso i conducenti, la giustizia e soprattutto i clienti. E la lista è abbastanza lunga. Nonostante gli attaccanti possano essere stati messi a tacere, i furti digitali non hanno le stesse regole di quelli del mondo fisico, non si possono “ricomprare i negativi” una volta che i dati sono stati rubati. Il fatto incoraggiante è vedere il nuovo management condannare la violazione, ma rimango preoccupato da alcune parole citate nel blog di Khosrowshahi. Sembrerebbe prendere le distanza dai servizi cloud di terze parti, obiettivo della violazione, per separare nettamente l’infrastruttura e il sistema corporate. Questo ci fa capire le radici del problema. I servizi cloud adottati da un’azienda, sono di fatto infrastrutture e servizi corporate, e da un punto di vista della security dovrebbero essere trattati come tali. Le responsabilità non si possono delegare all’esterno”.
Alfonso Maruccia