Uber ha subito nell’ottobre del 2016 un pesante furto di dati, si parla di informazioni relative a 57 milioni di persone: 50 milioni di clienti e 7 milioni di autisti. L’azienda, allora guidata da Travis Kalanick, preferì tacere e pagare un riscatto di 100 mila dollari per ottenere la cancellazione dei dati rubati. Sull’accaduto il procuratore generale di New York ha aperto un’inchiesta.
Non è un bel periodo per Uber, l’azienda da poco guidata da Dara Khosrowshahi, nuovo CEO dopo le dimissioni di Travis Kalanick, adesso è alle prese con un gravissimo episodio che apre nuovi scenari sulle difficoltà dell’azienda in questi ultimi 12 mesi e anche sull’addio del suo co-fondatore Kalanick. L’azienda ha rivelato ieri, dopo un’indagine interna, di aver subito un pesante attacco hacker nell’ottobre del 2016 che ha comportato il furto di dati relativi a 57 milioni di persone. Buona parte di questi sono dati di clienti, 50 milioni, la restante parte, 7 milioni di dati, appartengono agli autisti di Uber.
La vicenda ha del clamoroso non solo per la grossa mole di dati rubata, ma anche, e soprattutto, perchè l’azienda invece di avvertire le autorità, come prevede la legge, ha preferito pagare il riscatto di 100 mila dollari, con la promessa da parte degli hackers che avessero cancellato i dati, e di aver taciuto il tutto per più di un anno. Un fatto gravissimo su cui il procuratore generale di New York, Eric Schneiderman, ha annunciato di aprire un’inchiesta. L’ex CEO Travis Kalanick venne tenuto all’oscuro della vicenda e informato solo un mese dopo. A gestire l’incidente era il responsabile della sicurezza, CSO, Joe Sullivan insieme al suo team, ora tutti licenziati da Uber.
Dopo che la notizia si è diffusa, a rivelarla per prima è stata l’agenzia Bloomberg, Dara Khosrowshahi ha diffuso un comunicato in cui ha spiegato come è andata la vicenda. “Nulla di tutto questo sarebbe dovuto accadere e non lo giustifico. Stiamo cambiando il nostro modo di fare business“. Scrive così Khosrowshahi che ora si trova a fronteggiare un grave incidente che coinvolge l’azienda che sta tentando di rilanciare, un duro colpo proprio nell’ottica della riuscita del suo operato.
I dati trafugati erano nomi, indirizzi e-mail e numeri di telefono di 50 milioni di persone a cui vanno sommati i numeri delle licenze di 7 milioni di autisti Uber. L’azienda ha escluso che tra i dati ci fossero i numeri delle carte di credito dei clienti, della cronologia delle corse, del codice fiscale o della data di nacita. E non ha rivelato l’identità dei hackers che hanno operato il furto.
Secondo una prima ricostruzione, pare che Sullivan avesse agito in questo modo per paura di attrarre l’attenzione della Federal Trade Commission che in quel periodo stava discutendo con l’azienda a proposito di violazioni della privacy e della cattiva gestione dei dati.
Gli hackers sono riusciti a “bucare” il code repository GitHub pubblico utilizzato dagli ingegneri di Uber e quindi sono stati in grado di rubare le credenziali degli utenti i cui dati giacevano su un cloud di Amazon.
Questo di Uber non è che un episodio che riguarda ormai anche le grandi aziende che devono attrezzarsi meglio perchè furti come questo avvengano. Basti citare il caso Equifax oppure l’ancora eclatante caso Yahoo! e la lista sarebbe ancora lunga. Sicuramente dopo l’indagine si saprà di più su come sono andate le cose ma resta il fatto che l’azienda ha ignorato la legge, negli Usa esiste già l’equivalente del GDPR che sarà in vigore nell’UE nei prossimi mesi, omettendo l’obbligo di segnalare l’incidente. Un fatto gravissimo che renderà più complicato il lavoro di Khosrowshahi nel costruire una nuova azienda.