Uber è stata multata dai regolatori di Gran Bretagna e Paesi Bassi per non aver protetto le informazioni dei suoi utenti e non aver dato notizia del cyber attacco subito nel 2016 in cui sono stati sottratti dati di milioni di consumatori in tutto il mondo. La società americana del ride hailing ha tenuto nascosto per oltre un anno di aver subito un attacco hacker che ha esposto i dati di 57 milioni di suoi utenti , di cui 600.000 conducenti; il ceo Dara Khosrowshahi ne ha dato comunicazione solo l’anno seguente spiegando che l’attacco era stato sferrato da “individui esterni che sono illecitamente riusciti ad accedere ai dati conservati su un servizio cloud” di un provider di cui Uber era cliente. In seguito, Uber ha ammesso di aver pagato un riscatto di 100.000 dollari agli autori del furto per ottenere la distruzione dei dati (nomi, numeri di telefono e indirizzi email).
L’Information Commissioner’s Office britannico (ICO) ha multato l’azienda americana per 385.000 sterline (circa 435.000 euro), sottolineando che tra gli utenti esposti ci sono 2,7 milioni di cittadini britannici, di cui 82.000 automobilisti iscritti al servizio di ride hailing offerto da Uber. Il cyber attacco ha permesso di sottrarre informazioni sui tragitti e il prezzo pagato dai consumatori per le corse effettuate con la società americana.
“Non si tratta solo di una grave falla nella sicurezza dei dati da parte di Uber, ma di completa mancanza di considerazione per i clienti e gli autisti i cui dati personali sono stati rubati”, ha affermato in una nota il Director of Investigations dell’ICO, Steve Eckersley. “In quell’occasione nessuna misura è stata adottata per informare le persone interessate dalla violazione di dati o per fornire supporto. Questo ha reso le persone colpite ancora più vulnerabili”.
Una multa ancora più salata, relativa allo stesso data breach, è arrivata dalla Dutch Data Protection Authority (DPA), che ha imposto a Uber un’ammenda da 600.000 euro. La violazione ha interessato in Olanda 174.000 persone; la DPA ha spiegato che ha deciso di multare Uber perché non ha reso noto l’incidente entro 72 ore dal rilevamento dell’intrusione.
Il cyber attacco si è verificato prima dell’entrata in vigore della General Data Protection Regulation (Gdpr): questo ha “salvato” Uber da sanzioni molto più severe, ovvero fino al 4% del fatturato globale. L’Ico avrebbe, per esempio, potuto imporre 17 milioni di sterline di multa, calcola Reuters.
“Siamo contenti di poter chiudere questo capitolo sul data breach relativo al 2016”, ha commentato Uber, sottolineando che da allora ha modificato le sue policy sui dati e che quest’anno ha assunto un chief privacy officer e un data protection officer. “Come abbiamo comunicato anche alle autorità europee nel corso delle indagini, abbiamo introdotto una serie di miglioramenti tecnici alla sicurezza dei nostri sistemi”.
Per lo stesso data breach, Uber a settembre ha raggiunto un patteggiamento nei 50 Stati americani e nel District of Columbia in base al quale pagherà 148 milioni di dollari per avere intenzionalmente nascosto l’intrusione nel 2016. Sul sito del gruppo, l’avvocato Tony West ha riconosciuto “errori passati” da cui “abbiamo imparato per andare avanti”. Barbara D. Underwood, il procuratore generale dello Stato di New York, ha parlato di un patteggiamento “record” di questo tipo che “invia un messaggio chiaro: abbiamo zero tolleranza per coloro che violano la legge e lasciano le informazioni di consumatori e dipendenti vulnerabili per essere sfruttati”. In base al patteggiamento, Uber dovrà adottare migliori pratiche per la notifica di violazioni di hacker e ricorrere a un programma di integrità aziendale con cui i dipendenti potranno comunicare errori umani; inoltre un soggetto terzo indipendente dovrà essere reclutato per giudicare le pratiche per la sicurezza dell’azienda.