Le aziende oggetto di attacchi o intrusioni informatiche sono ormai all’ordine del giorno, ma quanto appena successo a Uber riesce comunque a essere sorprendente. Anche per la reazione della stessa impresa. Ieri il colosso californiano che ha lanciato nel mondo, non senza polemiche, un servizio di trasporto privato su auto via app, ha annunciato di aver subito una violazione di dati relativa a 57 milioni di suoi clienti e autisti. Informazioni che includono sicuramente nomi, email e numeri di telefono. In più, comprendono i dati su 600mila patenti americane; mentre non sarebbero presenti informazioni su carte di credito o conti bancari, riferisce un comunicato della stessa Uber.
Come è avvenuto l’attacco?
Due individui esterni all’azienda hanno ottenuto l’accesso “in modo inappropriato ai dati degli utenti conservati in un servizio su cloud di un fornitore estero che utilizziamo”, scrive ancora Uber in modo un po’ sibillino. Altri dettagli arrivano però da un articolodell’agenzia Bloomberg, la prima a dare la notizia: nel 2016 gli attaccanti avrebbero scoperto che gli sviluppatori di Uber avevano pubblicato del codice contenente le loro credenziali su un account privato di Github, il noto sito che ospita progetti software. Con quelle sarebbero entrati sui server Amazon dove Uber conservava i dati. Come scrive il ricercatore di sicurezza Troy Hunt, non è chiaro come siano entrati nell’account privato iniziale. Altri notano che l’errore di lasciare delle “chiavi d’accesso” nel codice su Github non sarebbe così raro. Ma è quello che è successo dopo che lascia di stucco.
Il pagamento dei 100mila dollari: come è avvenuto?
I due attaccanti infatti avrebbero inviato una email a Uber chiedendo dei soldi. L’azienda avrebbe quindi pagato 100mila dollari affinché i due cancellassero i dati trafugati, senza diffonderli o comunicare la violazione. Come li ha pagati? Non è chiaro. Secondo la ricostruzione del New York Times, Uber sarebbe però riuscita a individuare l’identità dei due hacker (non è chiaro nemmeno quanto hacking ci sia dietro tutta questa vicenda, ma teniamo per ora la definizione usata da più parti). E gli avrebbe chiesto di firmare un accordo di non divulgazione. Sempre secondo il Times, che cita fonti interne all’azienda, Uber avrebbe mascherato il pagamento sotto forma di bug bounty, cioè di ricompensa per la segnalazione di una vulnerabilità. In pratica, secondo questo scenario, Uber e i suoi attaccanti sarebbero arrivati a una sorta di compromesso: silenzio da tutte e due le parti, in cambio niente denuncia, da un lato, niente scandalo, dall’altro.
Perché per un anno non si è saputo nulla?
L’attacco è avvenuto nell’ottobre 2016, ed è stato scoperto dall’azienda nel novembre 2016. Come è possibile che sia stato reso noto solo oggi, a distanza di un anno, è la prima domanda che si sono fatti in molti. Anche perché Uber, non avendo pubblicamente divulgato la sottrazione di dati per tutto questo tempo, ha probabilmente violato diverse leggi, federali e statali, a partire da quelle della California, dove ha sede.
Quali sono state le prime reazioni?
Il procuratore generale di New York, Eric Schneiderman, ha aperto un’indagine. Un cliente ha già avviato un’azione legale che potrebbe risultare in una class action. Pure la Commissione federale per il commercio, che già si era occupata di Uber, potrebbe intervenire. Anche perché Uber, nel corso di una recente indagine su una precedente violazione di dati avvenuta nel 2014 (riguardante 50mila autisti) avrebbe taciuto di quella più recente. Varie autorità britanniche, incluse la National Crime Agency e il National Cyber Security Centre, stanno valutando l’accaduto e hanno diffuso raccomandazioni e indicazioni al riguardo.
Anche il nostro Garante della privacy si muove. “Abbiamo aperto un’istruttoria e stiamo raccogliendo tutti gli elementi utili per valutare la portata del data breach e le azioni da intraprendere a tutela degli eventuali cittadini italiani coinvolti”, dichiara il presidente dell’Autorità italiana Antonello Soro in un comunicato. “Quello che certo colpisce, in una multinazionale digitale come Uber, è l’evidente insufficienza di adeguate misure di sicurezza a protezione dei dati e quello che sconcerta è la scarsa trasparenza nei confronti degli utenti sulla quale indagheremo”.
Chi è responsabile?
L’accordo con gli attaccanti sarebbe stato deciso dall’allora capo della sicurezza, Joe Sullivan, e dall’allora amministratore delegato e cofondatore Traivs Kalanick, il quale era a conoscenza della violazione, avvenuta nell’ottobre 2016, già dal mese successivo. Sullivan, che veniva da Facebook e che ha un passato di avvocato, è stato licenziato insieme al direttore degli affari legali Craig Clark. Kalanick non è più al vertice di Uber (ma ancora nel board), sostituito ad agosto da Dara Khosrowshahi, che si era ritrovato a dipanare una matassa di scandali, cause legali e indagini.
I commenti dei lettori