Uber ha tenuto nascosto per oltre un anno di aver subito un attacco hacker che ha esposto i dati di 57 milioni di suoi utenti nel mondo, di cui 600.000 conducenti. A rivelarlo è lo stesso Ceo Dara Khosrowshahi, che in un post sul sito dell’azienda scrive di essere venuto a conoscenza dell’incidente solo “recentemente” e che l’attacco è stato sferrato a fine 2016 da parte di “due individui esterni che sono illecitamente riusciti ad accedere ai dati conservati su un servizio cloud” di un provider di cui Uber è cliente, mentre i sistemi e l’infrastruttura corporate non sono stati violati. Secondo Bloomberg, però, c’è di più: Uber avrebbe pagato un riscatto di 100.000 dollari agli autori del furto per ottenere la distruzione dei dati.
Gli esperti di indagini forensi, afferma il Ceo di Uber, assicurano che non sono stati violati dati come numeri delle carte di credito, conti bancari, codici fiscali, percorsi effettuati e date di nascita, ma gli hacker sono riusciti a scaricare file contenenti “un notevole numero di altre informazioni” tra cui nomi e numero di targa di 600.000 automobilisti negli Stati Uniti e “alcune informazioni personali” (nomi, indirizzi email e numero di telefono cellulare) di 57 milioni di utenti in tutto il mondo, tra cui gli automobilisti americani menzionati.
“Al momento dell’incidente abbiamo preso immediatamente le misure per mettere al sicuro i dati e porre fine all’accesso non autorizzato”, scrive Khosrowshahi. “Abbiamo identificato i responsabili e ottenuto delle assicurazioni che i dati raccolti saranno distrutti. Abbiamo rafforzato le misure per impedire l’accesso esterno e il controllo sui nostri servizi di storage su cloud”.
Secondo Bloomberg, invece, Uber avrebbe ottenuto la distruzione dei dati pagando un riscatto – una notizia che Uber non conferma ma su cui l’agenzia di stampa fornisce diversi dettagli: Uber ha infatti licenziato pochi giorni fa il suo chief security officer, Joe Sullivan, e uno dei suoi vice perché hanno tenuto l’attacco informatico segreto e pagato 100.000 dollari ai cybercriminali. Perché hanno scelto questa via? Secondo Bloomberg, al momento dell’attacco, ovvero a ottobre 2016, Uber era già sotto inchiesta da parte dei regolatori Usa per alcune accuse di violazione della privacy che erano state rivolte all’azienda (non correlate con l’attacco hacker); Uber aveva l’obbligo legale di rendere noto l’attacco ai regolatori e agli automobilisti che avevano subito il furto di dati, ma, per evitare un nuovo danno di immagine o ulteriori problemi col regolatore, l’azienda avrebbe preferito pagare gli hacker e mettere a tacere la vicenda. L’ex Ceo Travis Kalanick, co-fondatore di Uber, è venuto a conoscenza dell’attacco a novembre 2016, un mese dopo che è avvenuto.
Khosrowshahi scrive ora di essersi chiesto, esattamente come faranno tutti i conducenti e gli utenti di Uber, perché tanto ritardo nel rendere pubblica l’informazione sull’attacco hacker e ammette che “non c’è giustificazione”; Uber imparerà dai suoi errori e cambierà modo di fare, assicura. L’azienda ha anche assunto un consulente, Matt Olsen, ex della National Security Agency, e sta contattando singolarmente tutti gli utenti interessati dalla violazione dei dati. Ma intanto il procuratore generale di New York Eric Schneiderman ha aperto un’indagine per fare chiarezza sull’attacco e uno dei clienti di Uber americani ha già fatto causa all’azienda per negligenza: chiederà al tribunale di concedere al procedimento lo status di class action.
