Uber, nascosta una violazione avvenuta nel 2016 che ha colpito 57 milioni di clienti

Uber, nascosta una violazione avvenuta nel 2016 che ha colpito 57 milioni di clienti

Brutta figura per la società di ridesharing, che già ha sulle spalle un'immagine non proprio immacolata. Nel 2016 una violazione dei sistemi informatici ha portato alla sottrazione dei dati di 57 milioni di utenti, vicenda che la società ha cercato di insabbiare

di Andrea Bai pubblicata il , alle 10:01 nel canale Sicurezza
Uber
 

57 milioni è il numero di clienti Uber, sia guidatori, sia passeggeri, che nel 2016 è loro malgrado rimasta vittima di una violazione che ha colpito i sistemi informatici della società. Un incidente che emerge solo ora e che la stessa Uber ha cercato di nascondere, pagando un riscatto di 100 mila dollari ai responsabili della violazione perché restituissero i dati trafugati senza utilizzarli. Nel contesto della violazione sarebbero stati trafugati nomi, indirizzi email, numeri di telefono e circa 600 mila numeri di patenti.

Dara Khosrowshai, CEO di Uber da pochi mesi (ad agosto ha sostituito Travis Kalanick, costretto alle dimissioni a seguito delle pressioni degli investitori), ha dichiarato a Bloomberg che "non ci sono scusanti per l'incidente e nulla di tutto ciò sarebbe mai dovuto accadere". Secondo quanto si apprende Kalanick sarebbe venuto a conoscenza della violazione nel novembre 2016, ad un mese dall'accaduto. Joe Sulliva, Chief Security Officer e un subalterno sono stati allontanati dalla società questa settimana, per aver avuto un ruolo chiave nel nascondere l'incidente.

La violazione non interesserebbe i numeri di sicurezza e le informazioni sugli itinerari degli utenti e dei clienti, e sembra che i dati trafugati non siano comunque mai stati usati. I responsabili dell'accaduto sono, per ora, ignoti. Poco si conosce sulla natura dell'attacco, se non che gli autori sono venuti in possesso di credenziali di accesso ad un account Amazon Web Services di Uber, sfruttando le informazioni contenute in una pagina GitHub privata gestita da ingegneri Uber.

Khosrowshai ha inoltre firmato un post sul blog ufficiale di Uber per esporre quali misure la società intende adottare per affrontare gli strascichi dell'incidente. A tal propositoha arruolato un ex-consulente dell'NSA per offrire una linea guida al team di sicurezza di Uber per informare i titolari delle patenti i cui numeri sono stati sottratti durante la violazione. La società offrirà inoltre servizi di monitoraggio del credito e di protezione del furto di identità, anche se ad ora non sono state riscontrate prove che possano indicare frodi o abusi collegati all'incidente.

Intanto l'ufficio del Procuratore Generale dello Stato di New York, Eric Schneiderman, ha avviato un'indagine sull'incidente, per verificare se nella condotta tenuta da Uber sussistano violazioni di legge sulle pratiche di cosiddetto breach disclosure. Non è da escludere che anche la Federal Trade Commission possa muoversi in questa drezione, anche se al momento in cui scriviamo non sono state rilasciate posizioni ufficiali. Più di qualche grattacapo potrà sorgere anche nello stato della California, dove per altro Uber ha il suo quartier generale, poiché secondo una specifica norma del codice civile le società sono obbligate a rivelare le violazioni di sistemi informatici che colpiscono più di 500 residenti dello Stato, nella maniera più rapida possibile e senza alcun irragionevole ritardo.

Quanto accaduto ad Uber è solo l'ultimo episodio di una lunga lista, che vede tra le violazioni più eclatanti quelle che hanno colpito Yahoo e, più recentemente, la società di rating creditizio Equifax.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^