E’ normale che gli hacker, nel fare il loro lavoro, puntino alle società con più clienti. Questa volta l’attacco ha colpito Uber, la nota società di trasporti con autista popolare sopratutto nel Nord Europa e nelle grandi città italiane.
Capita, potrebbe dire qualcuno. Ma la cosa grave è che il fatto è accaduto nell’ottobre del 2016 (più di un anno fa) e la vicenda emerge solo ora a seguito di un report dell’accaduto pubblicato da Bloomberg.
Uber ha subito un attacco hacker
L’accusa contro Uber, infatti, è proprio quella di aver tenuto nascosto l’attacco al pubblico. L’Ex CEO dell’azienda, Travis Kalanick, sapeva dei fatti già un mese dopo l’accaduto, ma ha preferito non farlo sapere agli esterni di Uber.
A dimostrazione della gravità di questo fatto, l’ex CEO insieme al responsabile della sicurezza (Joe Sullivan) e alcuni suoi collaboratori, sono stati licenziati proprio questa settimana perchè ritenuti responsabili dell’occultamento del fatto.
La mossa di Uber
La vecchia dirigenza dell’azienda, dopo l’attacco che avrebbe coinvolto i dati di 57 milioni di utenti (tra clienti e autisti) avrebbe pagato 100.000$ agli hacker per cancellare il tutto e non far trapelare la notizia.
Una cosa molto grave che l’attuale CEO, Dara Khosrowshahi non giustifica, dichiarando:
Nulla di tutto questo sarebbe dovuto accadere, e non lo giustificherò Stiamo cambiando in nostro modo di fare business.
I dati sottratti
I dati che sono stati rubati dagli hacker (di cui identità non svelata) comprendono nomi, indirizzi e-mail, numeri di telefono e anche 600.000 numeri di patenti di guida. Se pensiamo come gli hacker siano entrati in possesso dei dati potremmo anche farci una risata… Tramite una repository pubblica contenente il codice utilizzato dagli ingegneri di Uber, sono riusciti ad ottenere le credenziali di accesso di un server contenente la lista dei clienti… Altro che attacchi impossibili degni del miglior episodio di Mr. Robot!
Perchè occultare il fatto?
La scelta dell’ EX CEO di occultare l’accaduto non è dovuta a un momento di follia, ma a scelte ben precise.
In quel periodo l’azienda stava affrontato delle vicende di violazione della privacy e aveva appena finito una controversia per la cattiva gestione dei dati degli utenti. Una violazione del genere non avrebbe certo migliorato la situazione, e per questo si è scelto di tenere i fatti nascosti.
Le dichiarazioni del CEO sono state:
Al momento dell’incidente, abbiamo adottato le misure per mettere al sicuro i dati e per eliminare ulteriori accessi non autorizzati. Abbiamo inoltre implementato misure di sicurezza per limitare l’accesso e rafforzare i controlli sui nostri account di cloud storage. Anche se non posso cancellare il passato, posso assumere l’impegno, per conto di ogni dipendente di Uber, che impareremo dai nostri errori.
Della vicenda è stato informato il Procuratore Generale di New York che ha aperto un’indagine sull’attacco hacker e sul successivo occultamento.
