Di Uber abbiamo avuto modo di parlare più volte ultimamente, riguardo le innovazioni tecnologiche in progettazione per il futuro. Infatti Uber si sta occupando di rendere operativi nel giro di due anni gli aerotaxi nelle città ad intenso traffico come Los Angeles. Nel contempo ha firmato un accordo con Volvo per una fornitura di SUV su cui installare sistemi di guida autonoma.
Meglio pagare che rivelare l’accesso non autorizzato ai dati. Questa la scelta di Uber nel 2016.
La notizia di oggi invece non è delle più rosee, poiché la compagnia ha ammesso di aver subito un disastroso attacco hacker nel 2016. Gli hacker sono riusciti a rubare i dati personali di 57 milioni di clienti ad ottobre 2016, inclusi nomi, indirizzi email e numeri telefonici di 50 milioni di utilizzatori del servizio in tutto il mondo. Insieme a questi sono stati rubati i dati personali di circa 7 milioni di conducenti, inclusi 600 mila numeri di patenti USA. La compagnia tende a precisare che invece sono al sicuro i numeri di previdenza sociale, le informazioni sulle carte di credito ed i dettagli sui viaggi effettuati.
Per riavere i dati Uber ha pagato un riscatto di 100 mila dollari, mantenendo l’informazione riservata nonostante avesse l’obbligo legale di denunciare il fatto.
A rivelare tutto questo è Dara Khosrowshahi, il CEO che da settembre guida la società. “Nulla di tutto questo sarebbe dovuto accadere, e non voglio cercare scuse. Stiamo cambiando il modo in cui fare business.”
A seguito dell’annuncio, il Procuratore Generale dello Stato di New York, Eric Schneiderman, ha avviato un’indagine, ed una class-action di consumatori ha denunciato Uber per negligenza, non essendo riusciti ad impedire l’ingresso degli hacker nei loro sistemi.
Come è avvenuto l’attacco?
Gli hacker sono riusciti ad accedere ad un servizio di hosting privato per progetti software usato dagli ingegneri di Uber. Da lì hanno rubato le credenziali di login per accedere ai dati immagazzinati su un account Amazon Web Services, in cui hanno scoperto l’archivio di dati su conducenti e passeggeri. Più tardi hanno inviato una mail a Uber con la richiesta di denaro.
Le leggi federali, oltre all’obbligo di denunciare l’attacco, prevedono anche che vengano informati i soggetti a cui sono stati rubati i dati. Cosa che la compagnia ha evitato di fare.
“Al momento dell’incidente abbiamo immediatamente messo al sicuro i dati e bloccato qualsiasi accesso a soggetti non autorizzati”, continua Khosrowshahi. “Abbiamo anche implementato misure di sicurezza per limitare gli accessi e rafforzato i controlli sugli account che hanno accesso ai dati immagazzinati in cloud.”