Dopo furto di dati di 57 milioni di clienti, Uber tace e paga riscatto agli hacker
I dati di 57 milioni di clienti di Uber sono stati piratati, ma la multinazionale per il trasporto privato lo ha tenuto nascosto per un anno preferendo pagari un riscatto, ben 100 mila dollari, agli hacker che avevano piratato nomi, email, numeri di telefono di 50 milioni di clienti e 7 milioni di autisti. Il furto, riferisce l'agenzia Bloomberg, è stato compiuto ai danni di clienti in tutto il mondo a ottobre del 2016. Oltre ai dati sensibili dei clienti, sono stati piratati anche i numeri di patente di 600.000 americani.
Uber tuttavia garantisce che non sarebbero stati trafugati altri dati come numeri delle carte di credito, numeri della sicurezza sociale (l'equivalente del nostro codice fiscale con cui negli Usa si può rubare l'identità di una persona) e nessun particolare sui viaggi effettuati.
Con il versamento - illegale - di 100 mila dollari, un'inezia per un'azienda fatturata a suo tempo 40 miliardi di dollari - Uber ottenne la promessa degli hacker che i dati trafugati sarebbero stati cancellati. Uber, peraltro, ancora oggi si è rifiutata di svelare l'identità degli hacker cui ha pagato il riscatto. La società - che a giugno ha visto la cacciata del co-fondatore Travis Kalanick - ha licenziato il capo della sicurezza, Joe Sullivan, ed uno dei suoi vice per il ruolo nell'aver taciuto e di fatto gestito la risposta al ricatto.
Quando avvenne l'intrusione Uber era nei guai per un altro caso: stava negoziando con le autorità Usa che stavano indagando su accuse di violazione della privacy. Uber ammette ora che all'epoca avrebbe dovuto denunciare il furto dei dati. Kalanick, ex Ad, seppe della violazione degli archivi della società a novembre del 2016, un mese dopo l'attacco, ma non fece nulla, diventando quindi complice del capo della sicurezza Sullivan.
A gennaio del 2016 il ministro della Giustizia dello Stato di New York ha inflitto una multa di 20.000 dollari ad Uber per aver taciuto un'altra violazione di hacker nei propri sistemi nel 2014. Dopo il secondo attacco - finora noto - Uber ha patteggiato 3 mesi fa con la FTC, ma senza ammettere di aver commesso un crimine, per la violazione della privacy dei clienti. L'ex capo della sicurezza, Sullivan, fu colui che materialmente decise di pagare il riscatto agli hacker, ha riferito un portavoce di Uber. Sullivan - che era un ex procuratore federale - si unì a Uber nel 2015, proveniente da Facebook Inc.
Da quando è stata fondata nel 2009 la giustizia Usa ha aperto almeno 5 indagini contro la Uber che vanno dal pagamento di mazzette, uso di software illecito, prezzi discuitbili e furto di propietà intellettuali di rivali. A queste si aggiungono le cause civili contro la società di San Francisco a Londra e da parte di altri governi nel mondo, che alla fine hanno vietato ad Uber di lavorare nei loro Paesi. Il nuovo numero 1 di Uber, Dara Khosrowshahi ha dichiarato che il suo obiettivo è cambiare Uber. A conferma della sua iniziativa il fatto che la notizia della nuova falla della sicurezza ed il furto dei dati di 57 milioni tra clienti ed autisti, malgrado sia avvenuta ad ottobre dello scorso anno, sia stata data ieri. "Mentre non posso cancellare il passato, posso impegnarmi a nome dei dipendenti di Uver che impareremo dai nostri errori", ha scritto in una mail Khosrowshahi, che per mettere al sicuro i dati della società ha assunto come consulente Matt Olsen, ex consigliere generale della National Security Agency e direttore del National Counterterrorism Center. Non solo. Ha anche affidato alla Mandiant, ditta specializzata in cibersicurezza posseduta dalla FireEye Inc., di indagare sull'attacco hacker.
Fonte: Repubblica