Bufera sicurezza su Uber Technologies

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Uber Technologies avrebbe pagato al cybercrime il riscatto per i dati rubati a 57 milioni di utenti e taciuto: è il peggiore degli esempi possibili

La rivelazione arriva direttamente dal nuovo amministratore delegato di Uber, insediatosi ad agosto, ma è destinata comunque a suscitare un polverone enorme sulla trasparenza dell’azienda e di conseguenza sulla fiducia di chi utilizza la piattaforma.

Così Dara Khosrowshahi ha rivelato che la sua azienda ha subito un furto di dati rilevante, relativo agli account personali di 57 milioni di utenti e conducenti in tutto il mondo, ma l’ha taciuto fino ad oggi, preferendo pagare il riscatto ai pirati informatici e rinunciando a denunciare il breach e i cybercriminali.

Personale esterno all’azienda avrebbe avuto accesso ai database aziendali, scaricato le informazioni di milioni di utenti compresi nomi e cognomi, email e numeri di telefono, ma non i numeri delle carte di credito e sembra nemmeno la mappatura degli spostamenti.

Dara Khosrowshahi - Ceo di Uber. Ha deciso per trasparenza di rivelare il furto di dati avvenuto nel 2016
Dara Khosrowshahi – Ceo di Uber. Ha deciso per trasparenza di rivelare il furto di dati avvenuto nel 2016

Gli hacker avrebbero avuto accesso a informazioni protette memorizzate su GitHub, la piattaforma di sviluppo DevOps. Ovviamente GitHub si è premurata di assicurare che il furto non è conseguenza di bachi di sicurezza della propria piattaforma. 

Bloomberg entrano nel dettaglio aggiunge che Uber avrebbe preferito pagare 100mila dollari (una cifra tutto sommato esigua) agli hacker in cambio della cancellazione dei dati e del silenzio.
Ovviamente è stato licenziato il responsabile della sicurezza  Joe Sullivan (che ha l’incarico di Top Security Official anche presso Facebook) con un suo dipendente, Craig Clark.

Questo furto di dati si fa notare perché Uber è già stata vittima nel 2014 degli hacker con la violazione di 50mila profili. Anche in quell’occasione la comunicazione da parte dell’azienda avvenne tardivamente e fu seguita da una multa di circa 20mila dollari.

Quanto accaduto evidenzia almeno due aspetti, relativi alla sicurezza. Il primo riguarda il comportamento umano. Anche questo caso è un esempio del fatto che il tassello debole della catena sicurezza, oltre a legarsi ai comportamenti “involontari” dei dipendenti, si lega a filo doppio ai comportamenti sbagliati e scorretti del management.

In questo caso il furto dei dati si lega alla scelta dei responsabili dei dati di tacere e pagare. In UE da maggio 2018, grazie anche al GDPR, una situazione di questo tipo dovrebbe direttamente portare all’applicazione del massimo delle sanzioni possibili, ovviamente più per il silenzio, che per il furto dei dati in  sé. Dagli Usa però avvertono già. L’FBI e non poche aziende di sicurezza avrebbero dichiarato che un crescente numero di aziende preferisce pagari i criminali per recuperare i dati e tacere.