L’azienda Uber ha subito un enorme attacco informatico su larga scala nel mese di ottobre del 2016 che ha esposto i dati riservati di 57 milioni di utenti: lo ha rivelato la stessa azienda in una dichiarazione a seguito di uno spaventoso report di Bloomberg.
Tra i difetti di Uber non c’è solo la mancata rivelazione dell’attacco hacker, ma anche la sua copertura: l’ex CEO Travis Kalanick è stato informato della violazione solo un mese dopo la sua scoperta, ma non è stata pubblicamente annunciata e, secondo quanto si evince dal report, sembra che in realtà sia stato nascosto dal Chief Security Officer Joe Sullivan e i suoi subordinati.
La società avrebbe pagato ai suoi hacker un riscatto di 100.000 dollari per cancellare i dati e non pubblicizzare la violazione ai media o alle autorità di regolamentazione.
L’ attuale CEO Dara Khosrowshahi, che ha sostituito Kalanick come capo esecutore testamentario a settembre, nella dichiarazione dell’azienda afferma quanto segue:
“Nulla di tutto questo sarebbe dovuto accadere, e non mi scuserò […] Stiamo cambiando il nostro modo di fare affari.
Al momento dell’incidente, abbiamo preso misure immediate per proteggere i dati e chiudere ulteriori accessi non autorizzati da parte delle persone. Abbiamo anche implementato misure di sicurezza per limitare l’accesso e rafforzare i controlli sui nostri account di storage basati su cloud”.
Bloomberg sostiene inoltre che Uber, al momento della violazione, stava dialogando con le autorità di regolamentazione statunitensi in merito a violazioni separate della privacy e aveva appena trovato un accordo con la Federal Trade Commission sul trattamento scorretto dei dati dei consumatori, portando Sullivan a condurre una copertura per evitare ulteriori ricadute sulle sue pratiche di sicurezza e privacy. Il consiglio di amministrazione di Uber ha avviato un’indagine sul team di Sullivan il mese scorso, che ha portato alla divulgazione dell’attacco informatico e il suo occultamento.
La natura dell’attacco hacker è relativamente semplice, secondo Bloomberg: gli hacker con accesso ad un repository pubblico di codice GitHub utilizzato dagli ingegneri Uber sono stati in grado di raccogliere le credenziali di login private su un server di cloud computing Amazon, da cui gli hacker hanno rubato un elenco di dati relativi agli utenti e ai driver. Successivamente, hanno estorto a Uber il pagamento di 100.000 dollari.
Khosrowshahi, oltre alla nuova leadership dirigenziale della società, ha già informato dell’ attacco il procuratore generale di New York e la FTC. Inoltre, Uber ha mantenuto la società di sicurezza Mandiant per indagare ulteriormente sul cyberattacco.