Il grande attacco hacker nascosto da Uber, spiegato

Come la società ha occultato il furto dei dati di 57 milioni di suoi account nel 2016 e che cosa rischia oggi

(Uber)
(Uber)

Dopo la sospensione dei suoi servizi in diverse città e le accuse di molestie e maltrattamenti sul posto di lavoro, Uber ora rischia pesanti sanzioni negli Stati Uniti e all’estero per avere nascosto un attacco hacker subìto nel 2016 che riguardò circa 57 milioni di account. Per la società statunitense – che gestisce la famosa applicazione per prenotare automobili con autista – potrebbero aprirsi numerose cause legali e un nuovo danno di immagine dopo quelli subiti negli ultimi anni, che secondo gli analisti hanno rallentato i suoi piani per quotarsi in borsa nonostante una valutazione da svariate decine di miliardi di dollari. Uber ha ammesso le proprie responsabilità ed espresso la volontà di collaborare con le autorità giudiziarie, che in diversi stati stanno raccogliendo informazioni e prove per eventuali azioni legali.

Con un comunicato del 21 novembre, l’attuale CEO di Uber, Dara Khosrowshahi, ha annunciato che nel 2016 l’azienda subì un grave attacco informatico e che non avvisò i 57 milioni di utenti (tra clienti e autisti) coinvolti sul fatto che i loro dati fossero stati violati: nomi, indirizzi email, numeri di telefono e i dettagli delle patenti di centinaia di migliaia di autisti. All’epoca alla guida di Uber c’era il suo fondatore Travis Kalanick, costretto a dimettersi da CEO dell’azienda lo scorso giugno in seguito alle numerose notizie di casi di molestie sessuali e maltrattamenti del personale che aveva sostanzialmente ignorato, o ridimensionato.

Secondo Bloomberg, quando fu scoperto l’attacco informatico, Uber si mise in contatto con gli hacker e concordò il pagamento di 100mila dollari per ottenere che cancellassero i dati sottratti e che non diffondessero la notizia. La spesa fu giustificata contabilmente in modo molto generico, pensando che in questo modo l’episodio potesse essere occultato e dimenticato velocemente.

Nel processo di revisione della gestione precedente, il nuovo CEO Khosrowshahi ha commissionato un’indagine, ricostruendo infine come andarono le cose nel 2016 e perché nessun utente fu avvisato dell’attacco subìto dall’azienda. Accertate le responsabilità, Khosrowshahi ha licenziato Joe Sullivan, il responsabile della sicurezza di Uber assunto nel 2015, proprio quando la società era stata oggetto di alcuni attacchi informatici. Salvo ulteriori sorprese, l’attacco del 2016 dovrebbe essere stato il più grande e grave subìto da Uber mentre era Sullivan a occuparsi della sicurezza informatica aziendale.

Nel suo comunicato, Khosrowshahi ha scritto che:

Niente di tutto ciò sarebbe dovuto succedere, e non cercherò delle scuse. Non posso cancellare il passato, ma posso impegnarmi a nome di ogni dipendente di Uber sul fatto che sapremo imparare dai nostri errori. Stiamo cambiando il modo in cui facciamo affari, mettendo al centro delle decisioni che prendiamo la moralità, e stiamo lavorando sodo per meritarci la fiducia dei nostri clienti.

Gli autisti il cui numero di patente è stato scaricato dagli hacker sono in tutto 600mila, per i quali Uber ha disposto assistenza. Ogni autista compreso in questo ampio gruppo riceverà un’email di notifica, con le informazioni da seguire per ottenere risarcimenti e un programma di protezione dei propri dati personali. Per i clienti non dovrebbero esserci invece particolari problemi, ma la società consiglia di tenere sotto controllo la propria iscrizione e di segnalare attività che potrebbero essere sospette.

Per dimostrare di aver preso molto seriamente l’occultamento dell’attacco hacker, Uber ha anche annunciato di avere assunto l’ex consigliere generale dell’agenzia di intelligence NSA, Matt Olsen, che avrà il compito di guidare un nuovo gruppo per la gestione della sicurezza informatica aziendale. Le dichiarazioni di buona volontà e di collaborazione con la giustizia non hanno però convinto più di tanto i procuratori generali di diversi stati, che hanno iniziato a raccogliere prove ed elementi sul comportamento tenuto da Uber dal momento dell’attacco a oggi.

Stando alle informazioni raccolte da Recode, almeno gli stati di New York, Connecticut, Illinois, Massachusetts e Missouri hanno confermato di volere compiere indagini sulla vicenda. Le leggi statali in buona parte degli Stati Uniti impongono alle aziende di segnalare ai clienti gli attacchi informatici subiti, in modo da essere più trasparenti sulla gestione dei dati personali e sulla loro imprevista diffusione. Il caso di Uber è particolarmente grave perché ha reso possibile la diffusione dei dati delle patenti di centinaia di migliaia di persone, anche se non è ancora chiaro se quelle informazioni furono sfruttate dopo l’attacco informatico e prima del pagamento del riscatto. I procuratori generali di New York, Illinois e Connecticut hanno confermato di avere avviato i primi controlli nei confronti di Uber, altri dovrebbero aggiungersi nei prossimi giorni.

Oltre alle iniziative dei procuratori, si parla di una class action organizzata da alcuni utenti coinvolti in California, Illinois, Hawaii e altri stati, dove è espressamente richiesto che le aziende informino i loro clienti nel caso di un attacco informatico che abbia rivelato dati sensibili, come quelli sulle patenti di guida. Sulla vicenda potrebbe intervenire inoltre la Federal Trade Commission (FTC), l’agenzia federale che si occupa anche di tutela della privacy e di protezione dei dati. Lo scorso agosto la FTC aveva già emesso sanzioni nei confronti di Uber per come gestisce la sicurezza, ma per casi diversi da quello emerso negli ultimi giorni.

Prima dell’estate, Uber e FTC avevano inoltre messo insieme una bozza di accordo per risolvere un contenzioso legato a come erano stati trattati alcuni dati nel 2014, quando l’azienda non aveva segnalato in modo appropriato ai clienti di avere la facoltà di accedere a buona parte dei loro dati personali, compresi gli spostamenti effettuati usando le sue automobili con autista. L’accordo non era ancora definitivo e i membri della FTC devono esprimersi sulla vicenda con un voto. Le informazioni sull’attacco hacker nascosto nel 2016 potrebbero cambiare le cose, portando alla riapertura del vecchio caso e a sanzioni più severe.

Uber potrebbe avere seri problemi anche all’estero, dove l’azienda ha già dovuto rinunciare ai suoi servizi, sospendendoli in diverse città per la mancanza di licenze adeguate. La commissaria dell’Unione Europea per la Giustizia, Věra Jourová, ha detto che le aziende come Uber “non possono nascondere la violazione dei dati personali” pensando di non ricevere sanzioni. Jourová ha anche fatto riferimento al “Regolamento generale sulla protezione dei dati”, la nuova serie di regole con la quale dal 25 maggio 2018 sarà rafforzata la protezione dei dati personali nell’Unione Europea e che prevede norme più severe anche per le aziende extracomunitarie che gestiscono dati di residenti nell’Unione Europea.