Pagato un riscatto per impedire la diffusione di informazioni conservate in un database in cloud. Il nuovo CEO ordina un’indagine interna e adotta la linea dura con chi non ha seguito le regole
Il caso della violazione del database di Uber sta monopolizzando i media in queste ore e deve indurci ad una seria riflessione sulla gestione degli incidenti informatici: anche in vista della prossima adozione dei regolamenti europei. Uber ha nascosto la violazione dei suoi server che ha esposto 57 milioni di record nel 2016: una condotta che è costata il posto al CSO (chief security officer) e un suo vice. La loro decisione di nascondere quanto accaduto non è piaciuta al nuovo CEO, Dara Khosrowshahi.
Che cosa è accaduto
L’incidente è stato rivelato dallo stesso CEO della multinazionale per il trasporto privato: il furto, riferisce l’agenzia Bloomberg, è stato compiuto ai danni di clienti in tutto il mondo nell’ottobre del 2016. Gli attaccanti hanno avuto accesso ai dati di 57 milioni di utenti e sono stati sottratti anche gli estremi della patente di 600.000 automobilisti a stelle e strisce.
Sempre secondo Bloomberg, gli attaccanti hanno ottenuto le credenziali per accedere ai sistemi da un repository GitHub utilizzato dal team di sviluppo di Uber: successivamente hanno cercato di ricattare l’azienda chiedendo 100.000 dollari per evitare di pubblicare i dati rubati.
L’aspetto più controverso della storia inizia proprio qui: Uber invece che notificare la violazione dei dati ai clienti e alle forze dell’ordine, come richiesto dalla legislazione Californiana in materia di sicurezza dei dati, ha cercato di tenere la storia il più riservata possibile. Il capo della sicurezza delle informazioni di Uber, Joe Sullivan, ha fissato la linea per gestire l’incidente: ha ordinato di pagare il riscatto e di tenere la faccenda sotto traccia, senza che neppure il responsabile degli affari legali di Uber (Salle Yoo, nel frattempo dimissionario) fosse informato dell’accaduto.
Per giustificare il pagamento della cifra agli attaccanti, l’azienda ha annunciato il pagamento di un premio all’interno del suo programma di bug-bounty. L’azienda ha identificato i responsabili della violazione: invece di denunciarli ha pensato di inserire i loro nomi nell’elenco di dei virtuosi hacker etici che hanno riportato informazioni inerenti falle nei suoi sistemi, premiando il loro sforzo con 100,000 dollari.
La linea Khosrowshahi
In una dichiarazione il nuovo CEO di UBER ha chiarito come gli intrusi abbiano avuto accesso agli archivi contenenti i dati ospitati nel cloud: “Recentemente ho appreso che alla fine del 2016 ci siamo resi conto che due persone al di fuori della società avevano erroneamente acceduto ai dati utente memorizzati su un servizio basato su cloud di terze parti che usiamo. L’incidente non ha violato i nostri sistemi o le infrastrutture aziendali. Al momento dell’incidente abbiamo preso provvedimenti immediati per proteggere i dati ed evitare ulteriori accessi non autorizzati. Successivamente abbiamo identificato le persone e ottenuto assicurazioni che i dati scaricati sono stati distrutti. Abbiamo anche implementato misure di sicurezza per limitare l’accesso e rafforzare i controlli sui nostri account di archiviazione basati su cloud” recita la dichiarazione dell’amministratore delegato.
“Forse vi starete chiedendo perché stiamo parlando di questo ora, un anno dopo – prosegue la nota – Mi pongo la stessa domanda, quindi ho immediatamente chiesto un’indagine approfondita su quello che è successo e su come abbiamo gestito la situazione”.
Come risultato della nuova inchiesta della commissione interna ordinata dal CEO, Sullivan e uno dei suoi uomini sono stati messi alla porta. L’amministratore delegato ha spiegato che questo genere di cose non si ripeterà più in futuro perché Uber fonda la sua missione sulla protezione della sicurezza e la privacy dei propri clienti: “Anche se non posso cancellare il passato, posso impegnarmi a nome di ogni dipendente di Uber che impareremo dai nostri errori. Stiamo cambiando il nostro modo di fare business, mettendo l’integrità al centro di ogni decisione che prendiamo e lavorando duramente per guadagnare la fiducia dei nostri clienti”.
Il CEO ha aggiunto che gli esperti non hanno trovato prove del fatto che i dati siano stati scaricati: comunque la società sta monitorando gli account interessati per evitare che possano essere oggetto di attività fraudolente. Inoltre Uber ha denunciato l’accaduto alle autorità e sta notificando quanto accaduto a ciascun autista i cui dati sono stati coinvolti nella violazione. L’azienda sta offrendo loro gratuitamente un servizio per monitoraggio del credito e la protezione contro il furto d’identità. Il procuratore generale di New York, Eric Schneiderman, ha avviato un’indagine sulla violazione subita da Uber.
Questa non è la prima volta che la società è vittima di attacchi simili, Uber ha subito la prima violazione dei dati nel maggio 2014, ma l’evento è stato scoperto a febbraio 2015: in quell’occasione i nomi e le patenti di guida di oltre 50.000 conducenti della compagnia erano stati compromessi. A giugno 2016, gli esperti di sicurezza della società Integrity hanno individuato una dozzina di falle nel sito web di Uber che potevano esporre i dati dei conducenti e dei passeggeri a malintenzionati.