La compagnia di taxi privati Uber è stata vittima di un cyber attacco, concluso con la sottrazione dei dati di 57 milioni di utenti in tutto il mondo e di 600mila autisti. A dichiararlo è stato l’amministratore delegato in persona, Dara Khosrowshahi. Non solo. Secondo Bloomberg, la società, uno dei simboli della cosiddetta gig economy, lo avrebbe tenuto nascosto e avrebbe preferito corrispondere un riscatto di 100mila dollari per evitare che il fatto fosse reso pubblico (particolare non ancora confermato da Uber).
COSA È ACCADUTO
L’attacco, del quale Khosrowshahi ha detto di aver appreso “solo recentemente”, risale alla fine del 2016 e comprende nomi, e-mail e numeri di telefono degli utenti, ma anche le patenti degli autisti. La compagnia sostiene che non sarebbero state rubate altre informazioni come numeri delle carte di credito, i Social security number (una sorta di codice fiscale usato negli Usa) e nemmeno dati sui viaggi fatti.
LA POSIZIONE DI UBER
Khosrowshahi ha rassicurato gli utenti sulla chiusura del caso, dicendo che “tutte le misure per mettere al sicuro i dati sono state prese, i responsabili sono stati identificati e la società si è assicurata che i dati rubati saranno distrutti”. Inoltre la compagnia, che lo scorso giugno aveva vissuto l’allontanamento del co-fondatore ed ex ceo Travis Kalanick, ha anche licenziato il capo della sicurezza, Joe Sullivan, ed uno dei suoi più stretti collaboratori per non aver reso nota la vicenda.
LA RICOSTRUZIONE
Secondo Bloomberg, Kalanick venne a conoscenza del data breach un mese dopo l’offensiva, precisamente a novembre 2016, ma non avrebbe fatto niente. Solo a gennaio dello stesso anno, l’attorney general dello stato di New York aveva comminato una sanzione a Uber (20mila dollari) per aver nascosto un’altra violazione avvenuta nel 2014.
LE DICHIARAZIONI DI SORO
La vicenda ha avuto una rilevanza talmente ampia da aver spinto anche Antonello Soro, presidente dell’Autorità Garante per la privacy in Italia, a esprimere “forte preoccupazione per la violazione subita da Uber” e “tardivamente denunciata dalla società americana”. “Abbiamo aperto un’istruttoria”, ha detto Soro, “e stiamo raccogliendo tutti gli elementi utili per valutare la portata del data breach e le azioni da intraprendere a tutela degli eventuali cittadini italiani coinvolti”.
PERCHÉ PREOCCUPARSI
Per Stefano Mele, presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano, “la situazione è preoccupante, perché a fronte di un caso divenuto noto, come quello di Uber, ce ne sono tantissimi che non lo sono e, forse, mai lo diventeranno”. La ragione, ha evidenziato l’esperto a Cyber Affairs, è semplice da intuire, ma sono le conseguenze di questo silenzio che vengono sottovalutate. “Le aziende”, prosegue Mele, “tendono a non denunciare le violazioni di dati subite per diversi motivi: in primo luogo evitare danni all’immagine, che spesso si rivelano più grandi di quelli derivanti dalle informazioni sottratti, ma anche non incappare nelle sanzioni governative previste in caso di data breach”.
Se però nel breve periodo non denunciare può sembrare un atteggiamento vincente, perché consente di non cadere in quanto detto, nel medio-lungo periodo produce invece, secondo l’esperto, grossi danni. “Più passa il tempo”, ha rimarcato Mele, “più si corre il rischio di subire un danno di immagine ancora più grosso nel caso in cui la violazione venisse allo scoperto, ma, soprattutto si arreca un danno ancora maggiore alla comunità, perché nascondere la polvere sotto il tappeto non aiuta l’opinione pubblica a cogliere la gravità della minaccia e dunque a non fare quel salto culturale necessario a difendersi efficacemente nel cyber spazio”.
L’INIZIATIVA EUROPEA
Per rendere meno pericolosa la reticenza delle imprese – per la maggior parte extraeuropee – a denunciare le violazioni di cui sono vittime, Bruxelles ha messo in campo alcune iniziative. “Il nuovo regolamento privacy, il Gdpr, che entrerà in vigore dal 25 maggio 2018 – ha detto ancora Mele – costringe le aziende non europee che trattano dati di cittadini del Vecchio continente a rispettare nuove norme, che includono anche la notifica dell’avvenuta sottrazione di dati non solo ai garanti europeo e nazionali, ma anche agli stessi utenti colpiti. Ciò”, ha concluso l’esperto, “è destinato a costituire un grande cambiamento dalla forte carica sensibilizzatrice, a patto che le autorità preposte facciano rispettare le multe previste in caso di non ottemperanza. Sanzioni che, da legge, sono peraltro piuttosto salate”.
PAGARE? SBAGLIATO
Non solo tacere, ma anche pagare, rilevano gli addetti ai lavori, è qualcosa da evitare. “Non è ancora chiaro se Uber abbia corrisposto un riscatto. Se così fosse sarebbe probabilmente uno dei pochissimi casi noti, forse l’unico, in cui si rende noto, in questi termini, il pagamento di una somma di denaro da parte di una grossa società allo scopo di non divulgare dati”, ha commentato a Cyber Affairs Corrado Giustozzi, esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale (Agid). “In ogni caso”, ha proseguito, “è importante sottolineare che mai bisogna cedere a questo tipo di ricatti. Meglio denunciare. Non si ha infatti mai nessuna garanzia che cyber criminali, una volta ottenuti i soldi, non pubblichino, vendano o utilizzino comunque i dati. Il danno ormai è fatto e, cercare di recuperare a posteriori, può solo rischiare di produrre più danni di quelli già subiti con il data breach”.
