Uber ha versato 100.000 USD ad un gruppo di hacker per occultare le tracce di un furto massivo di dati: ai pirati informatici è stato chiesto di eliminare i dati in proprio possesso e di mantenere assoluto riserbo sull’accaduto.

Stando alle informazioni raccolte da Bloomberg, nell’ottobre 2016 i cyber-attaccanti si sarebbero introdotti in un database Uber contenente:

  • nomi, e-mail, indirizzi e numeri di telefono di 50 milioni di utenti;
  • identificativi e contatti di 7 milioni di driver, comprensivi di numeri di patente.

La penetrazione non avrebbe compromesso informazioni su carte di credito e itinerari delle corse.

Uber ha sollevato dall’incarico il proprio Chief Security Officer e il suo vice, colpevoli di aver cercato – riuscendoci – di insabbiare l’accaduto. Una condotta ritenuta particolarmente grave, anche alla luce del fatto che – al momento del data breach – Uber era sotto investigazione per altre violazioni di privacy e che, anche in ragione di specifici presi con la giustizia americana, avrebbe dovuto tempestivamente avvisare pubblico ed autorità in caso di ulteriori problemi di sicurezza.

Il colosso del trasporto automobilistico privato ha una storia davvero tormentata con le questioni di data protection:

  • nel 2014 i dati di 100.000 autisti furono oggetto di un cyber-attack (leggi qui da Forbes);
  • sempre nel 2014 emerse che il programma di monitoraggio delle corse – forse non a caso denominato God View – era utilizzato da alcuni dipendenti per controllare gli spostamenti di giornalisti scomodi (e non solo, come rivelato da un ex dipendente nel 2016: vedi qui su La Stampa);
  • ad aprile 2017, il sito The Information rivelava che tra il 2014 e il 2016 Uber avrebbe tracciato i conducenti della principale concorrente Lyft attraverso un software spia al fine di rubare forza lavoro ai rivali;
  • nell’agosto 2017 la compagnia ha eliminato dall’app la criticatissima funzione che consentiva la geolocalizzazione degli utenti per i 5 minuti successivi alla fine della corsa (qui da Reuters);
  • ad ottobre è stata eliminata un interfaccia API che avrebbe potenzialmente consentito di registrare gli schermi degli utenti in possesso di dispositivi iOS (leggi qui da Apple Insider).

Paradossalmente, il CSO ritenuto responsabile degli accadimenti emersi oggi, era stato assunto nel 2015 per elevare i sistemi di sicurezza e per contribuire al “restyling” di privacy dell’immagine aziendale. Ora starà al nuovo CEO Dara Khosrowshahi, in carica da qualche settimana, ricostruire una reputazione ulteriormente compromessa.