Uber ha pagato un riscatto a hacker che avevano rubato i dati di circa 50 milioni di clienti e 7 milioni di autisti. Stando a quanto riporta Bloomberg, nel 2016 alcuni cybercriminali sono riusciti a ottenere nomi dei passeggeri, indirizzi email e numeri di telefono, ma anche dati degli autisti, incluso il numero della patente. L’azienda di San Francisco che fornisce servizio di trasporto automobilistico privato afferma che i social security number (una sorta di numero equivalente grossomodo al nostro codice fiscale), i numeri di carta di credito, le località dove si è viaggiato e altri dati sensibili non sono stati rubati.
I cybercriminali si sarebbero infiltrati in un servizio per l’hosting di progetti GitHub sfruttato dagli ingegneri software di Uber per ottenere credenziali e accesso ad account Amazon Web Services (AWS). La disponibilità dell’archivio AWS con dettagli su passeggeri e autisti ha consentito ai criminali di chiedere un riscatto. Uber avrebbe dovuto denunciare quanto accaduto, avvisando anche clienti e autisti ma per motivi non chiari (probabilmente per evitare che diffondessero la notizia) ha preferito pagare 100.000 dollari con la presunta promessa della cancellazione dei dati.
Dara Khosrowshahi, amministratore delegato della società di servizi auto, sostiene di aver saputo dell’attacco solo di recente: è alla guida dell’azienda da agosto da quando, dopo mesi senza CEO, il Consiglio di amministrazione l’aveva scelto per occupare il posto del fondatore, Travis Kalanick, detronizzato per esplicita richiesta degli investitori.
Il CEO rassicura gli utenti affermando che i responsabili sono stati identificati e i dati saranno distrutti. Intanto si è deciso di licenziare il capo della sicurezza, Joe Sullivan, e altri membri del suo team, promettendo di aumentare il livello di controllo sui dati personali. Per indagare sull’accaduto e ristrutturare i team che si occupano di sicurezza, Uber ha assunto esperti di Mandiant, società specializzata in cybersicurezza e Matt Olsen, ex consulente generale della National Security Agency.
Chester Wisniewski,, Principal Research Scientist di Sophos (azienda specializza in sicurezza) ha commentato così l’episodio “La violazione dei dati di Uber dimostra, ancora una volta, che l’attenzione per la sicurezza non deve mai venire meno. E’ importante ricordare che non bisogna condividere né archiviare chiavi di accesso nei repository del codice sorgente. Ho la sensazione di aver già visto questo film… anche se di solito le aziende non vengono scoperte mentre cercano di insabbiare questo tipo di attacchi. Lasciando da parte per un attimo il clamore mediatico della vicenda e anche senza considerare il potenziale impatto di un episodio simile in vista della nuova normativa GDPR, il caso UBER è l’ennesimo esempio di un’inadeguata applicazione delle pratiche di sicurezza. Purtroppo, questo tipo di incidente avviene più spesso in contesti lavorativi estremamente flessibili”.
Anche James Lyne, Cyber Security Advisor di Sophos ha commentato l’attacco: “Uber non è l’unica, e non sarà l’ultima azienda che tenta di nascondere un cyberattacco o un furto di dati. Non avvisare i clienti non fa che aggravare la situazione, mettendo l’azienda a rischio di ripercussioni legali. Questo è uno dei motivi principali per cui diversi paesi stanno adottando regole stringenti che obblighino le imprese a comunicare tempestivamente gli attacchi subiti e i dati compromessi”.
Ai clienti e agli autisti di Uber, Sophos consiglia di tenere sotto controllo i propri movimenti bancari e di tenersi aggiornati su eventuali aggiornamenti relativi al tipo di dati sottratti dai cybercriminali.