23 Gennaio 2018
Uber ha rivelato di aver subito un grave attacco hacker nell'ottobre 2016 che ha esposto dati riservati di oltre 57 milioni di guidatori e clienti che utilizzano il servizio. La conferma arriva a seguito della diffusione di un report pubblicato da Bloomberg contenente ulteriori dettagli sulla vicenda e, purtroppo per Uber, si tratta di informazioni che mettono in evidenza alcune gravi mancanze da parte dei dirigenti della società nella fase di gestione dell'accaduto.
Uber è ritenuta responsabile di non aver svelato tempestivamente l'attacco e di averlo successivamente tenuto nascosto al pubblico. Travis Kalanick, ex-CEO di Uber, è stato informato del fatto un mese dopo (novembre 2016, quindi), ma ha scelto di non renderlo noto pubblicamente. Il responsabile della sicurezza di Uber, Joe Sullivan, e i suoi subordinati - afferma Bloomberg - sono stati ritenuti corresponsabili per averlo occultato - il dirigente e un suo subalterno sono stati licenziati questa settimana.
La compagnia avrebbe inoltre corrisposto agli hacker la cifra di 100,000 dollari per cancellare tutte le tracce e non rivelare né ai media, né alle autorità di controllo quanto avvenuto. L'attuale CEO di Uber, Dara Khosrowshahi, non giustifica l'operato del precedente dirigenza e afferma: Nulla di tutto questo sarebbe dovuto accadere, e non lo giustificherò Stiamo cambiando in nostro modo di fare business. Per il momento, Uber non ha accettato di rivelare l'identità degli hacker.
I dati sottratti comprendono, tra l'altro, nomi, indirizzi e-mail, numeri di telefono, e anche circa 600,000 numeri di patente di guida degli autisti. Secondo quanto riportato da Bloomberg, mettere a segno l'attacco è stato relativamente semplice: gli hacker, tramite una repository pubblica di Github, contenente il codice utilizzato dagli ingegneri di Uber, sono entrati in possesso delle loro credenziali di accesso private ad un server per il cloud computing di Amazon, che custodiva la lista di autisti e clienti di Uber.
La scelta dell'ex-CEO di occulatare l'accaduto deve essere opportunamente contestualizzata: in quel periodo - sottolinea il report - Uber stava affrontando altre vicende di violazione della privacy con le autorità di controllo statunitensi e aveva appena definito una controversia con la Federal Trade Commission per la cattiva gestione dei dati dei suoi utenti. L'ennesima, grave, violazione non avrebbe certamente migliorato la situazione agli occhi delle autorità, da qui la scelta di tenere nascosto l'attacco.
Il nuovo CEO ha dichiarato:
Al momento dell'incidente, abbiamo adottato le misure per mettere al sicuro i dati e per eliminare ulteriori accessi non autorizzati. Abbiamo inoltre implementato misure di sicurezza per limitare l'accesso e rafforzare i controlli sui nostri account di cloud storage. Anche se non posso cancellare il passato, posso assumere l'impegno, per conto di ogni dipendente di Uber, che impareremo dai nostri errori
Khosrowshahi ha informato il Procuratore Generale di New York, Eric Scheiderman, e la Federal Trade Commission dell'attacco. E nel frattempo iniziano a cadere le prime teste, compresa quella del capo dell'ufficio legale della compagnia, sostituito con effetto immediato. Dopo la segnalazione, il Procuratore Generale di NY ha confermato di aver aperto un'indagine sia sull'attacco, sia sulla successiva decisione di tenerlo nascosto.
Commenti
Non per essere troppo critico e sembrare irrispettoso ma ultimamente mi chiedo se gli articoli vengano scritti con il giusto significato e non rigirandone il senso a causa di una lettura troppo veloce del redattore
Chiedi troppo oh!!!!
Non sei mica su un sito di informazione tecnologica!!
ahahahahah
Lo so, ho vissuto anche io in usa per un anno (da studente). Spiegarlo agli altri.
Ovviamente situazioni positive ci sono, ma non dimentichiamo quelle negative.
Ragionamento abbastanza stupido e vile, neanche l'amianto di una famosa industria Piemonte faceva nulla (all'inizio), ora i morti non si contano neanche più.
Ho lavorato negli USA, e dopo un anno sono tornato in Italia di corsa. Non è tutto cosi perfetto come vogliono farci credere.
Aspetta, ma gli USA non erano il posto migliore del mondo dove lavorare? 100k e più dollari l'anno e tutto il resto adesso passano in secondo piano?
Farsi penetrare tramite la repository di Github è un po da cogli*ncelli.
Pessima figura per un'azienda come Uber.
noh
Dimentichi greyball app fatta apposta per evitare polizie e controlli vari
Sono stato troppo estremista e rispetto il tuo punto di vista.
Lavoro anche io nel campo da 10 anni e da 8 nel cloud.
Da quello che ho capito nemmeno io approvo il modo di fare di Uber.
Dall'altra parte non mi da invece fastidio chi mi da servizi ottimi e gratuiti con lo scotto della pubblicità...ovviamente quando sono avvertito di ciò che comporta aderire al suddetto servizio. Se gli avvisi di ciò che fanno mi arrivano, allora ok. Di sicuro non posso pretendere che ci sia qualcuno che viene a casa e mi racconta la modalità e capisco che più di uno o più avvisi scritti non possono fare. Se mi interessa, devo fare solo la fatica di leggere.
Ah infatti uberblack che è legalissimo in molti dei paesi in cui uberpop è bannato non conta vero?
Uber ha dimostrato più e più volte di non essere più pulita eo economica dei normali taxi lo NCC
Sarà perché la non è richiesta un'assicurazione particolare che i conducenti uberpop non hanno?
Peccato che evasione e delinquenza siano presenti anche nel DNA di uber visto come hanno cercato di eludere i controlli nelle varie nazioni dove è vietato.
Peccato tutta questo bisogno di un'alternativa stranamente non tiene conto dei vari NCC e dello stesso uber black che sono perfettamente legali
Più che altro inserire le credenziali nel codice non è mai una buona idea
E vabbè, la situazione è tragica ma non è facendo i disfattisti che si migliorano le cose.
Qualcuno che lotta per diritti ed ottiene risultati c'è (vedi EFF)
chissà, se uber ha avuto molto successo lì un motivo ci sarà, alla fine i metodi dei tassisti sono uguali dappertutto XD
Legiferare duro? Siamo nell'era dei big data i grossi flussi economici si spostano analizzando i dati e le info che scambiamo/condividiamo/inseriamo tramite i nostri dispositivi.. è pura utopia che legiferano per tutelare noi utenti, non c'è il minimo interesse a farlo e oramai all'ordine del giorno abbiamo casi dove vengono presi a nostra "insaputa" i nostri dati..basti guardare CCleaner veramente dovrebbero esplodere tutti. L'alternativa però purtroppo non esiste, o stacchiamo completamente internet, oppure siamo merce di scambio con le nostre info che inconsapevolmente scambiamo.
si pure io, a New York non penso che abbiano tutta la "libertà" che hanno in Italia sti cavolo di taxisti
Ah be certo, mettono in piedi un sistema di backup in assenza di connessione sui client poi, quando ricevono i dati li buttano via senza farci niente. Magari vogliono solo testare la risposta della loro infrastruttura verso grosse mole di dati in ricezione e basta :D
Alla fine sono sviste che creano grandi problemi
nono, hanno ammesso candidamente.
E' pure nell'Eula
Per scusarsi dicono che "Sì riceviamo ma non registriamo"
IO MI FIDOH
Sarcasmo? XD
Avevo letto il titolo ma non avevo ancora letto l'articolo. E sti cazz! Ora come giustificano questa cosa? Ennessimo bug che loro non sapevano? Come il bug dell'OK Google che si attivava anche quando si diceva solo OK e registrava sempre una ventina di secondi di conversazione? Forse l'idea del troglodita in una caverna non è cosi pessima :D
Al contrario è proprio questo genere di persone che ferma l'innovazione. Vogliono usare le nuove tecnologie senza investire nel fronte più importante (la sicurezza). In questo modo rovinano chi le utilizza in modo corretto
ultima news, Google riceve da anni le coordinate geografiche di tutti gli utenti android anche con geo-localizzazione disabilitata, e anche dei percorsi fatti in assenza di connessione o perfino di sim (l'Os salva in locale le coordinate e poi le manda ai server di google appena si configura una qualunque connessione).
Nessuna opzione per rifiutare.
E' ora id legiferare davvero duro contro questi veri e propri soprusi.
Certo che un controllo ortografico con office prima di pubblicare l'articolo potreste farlo ogni tanto...
Fin quando utilizzavano i miei cookies per offrirmi pubblicità mirata non mi interessava, oppure che ora mai la mia privacy su internet è pari a zero non mi da cosi fastidio. Ma quando "incrociando" i miei dati sanno praticamente tutto di me e che mi usano come prodotto senza sapere bene cosa sanno di me e cosa stanno vendendo di me inizia davvero a stancarmi. Mettici pure i gravi buchi di sicurezza che ciclicamente vengono fuori in tutti questi servizi dell'internet era social-network e i dati che potrebbero prendere a mia insaputa iniziano ad essere davvero troppi. Poi magari sto invecchiano e inizio a pensarla come i vecchietti che dicono "si stava meglio quando si stava peggio" :D
Qui si giustifica di tutto...
"ora con la scusa del tutto gratis c'è sempre sotto qualcosa."
se una cosa è gratis il prodotto sei tu...
Certo quelle che contano meno e guadagnano meno. Anche alla mdp e alla bpv hanno fatto saltare delle teste.....gli addetti alle pulizie
annoh con l'h
esattamente come fai a dire che non e' successo nulla?
hai la certezza che nessuno dei dati rubati sia stato usato per qualche crimine? come?
nel mondo reale non c'è la dicotomia o tutto o niente.
"Il paragrafo dove dite di contestualizzare la situazione sembra quasi una giustificazione per quello che hanno fatto"
si infatti anzi scritto in quel modo sembra ancor di più una paraculata...
Beh sono sistemista da 10 anni quindi faccio parte di quel mondo da tanto tempo e non mi sto contraddicendo. Inizio a stancarmi della piega che sta prendendo tutto il mondo tecnologico. Non è che non uso niente, ma preferisco usare il minimo indispensabile. Preferivo di gran lunga prima dove c'erano pochi servizi e quelli che c'erano li pagavi ma sapevi cosa stavi prendendo, ora con la scusa del tutto gratis c'è sempre sotto qualcosa.
mi metto nei panni ceo del che cerca di non far chiudere la propria azienda. in un anno milioni di persone hanno continuato ad usare tranquillamente il servizio e non è successo nulla, il riscatto che uber ha pagato evidentemente ha funzionato. ora si apriranno le indagini e si cercheranno i colpevoli, e nel mentre l'azienda non ha chiuso e la gente ha potuto lavorare e portare il pane a tavola.
come dire che bella la ndrangheta che ha preso il posto della mafia siciliana....
il tuo argomento francamente e' uno dei piu' orribili che abbia sentito, tu giustificheresti qualsiasi comportamento di qualcuno soltanto perche' sta facendo concorrenza a qualcun altro che non ti piace?
magia dei servizi internet-centrici che spesso pongono casi non gestiti ancora bene dalle leggi e legislazione ultrapermissiva americana.
anche quelle di montepaschi, banca pop di vicenza e compagnia bella... almeno loro un paio di teste le hanno fatte saltare.
non sono affatto d'accordo.
Non ho nulla contro di Uber, anzi lo trovo interessante, e mi spiace che se la viva così dura coi governi (pur ritenendo sia normale questo attrito quando proponi uno scarto strutturale sul mercato).
Questo non autorizza nessuno a nascondere niente, e la sicurezza dei dati ormai è importante come la sicurezza dei soldi. Teniamo i discorsi separati o facciamo noi per primi un gran casino
Ammazza non lo sapevo...
E come mai sono ancora li?
Mah, datemi del troglodita ma sono sempre più schifat0 dalla piega che ha preso il mondo tecnologico, sono sempre più convinto che meno si utilizzano questi nuovi servizi e meglio sti sta
Del troglodita no, ma di uno che si contraddice da solo si...
Solo per il fatto che sei qui a commentare, stai usufruendo di un servizio (Disqus) che fa parte del mondo tecnologico che stai schifando :)
un po' di tutto, dall'assumere chiunque senza screening, non rispettare gli standard sulle norme per le assicurazioni e sistemi di sicurezza dei mezzi, hackerare gli avversari per rubargli le corse e per introdurre chiamate inesistenti ai loro mezzi, hackerare i sistemi della polizia per rendere intracciabili le proprie corse e non pagare le tasse, nascondere crimini compiuti dai propri autisti verso i clienti, usare trucchi per non pagare le tasse sugli autisti ecc.
-identificato i device delle FDO e modificato apposta il comportamento dell'app uber
-spiato e bullizzato i propri dipendenti che guidavano anche per i concorrenti
-acceduto ai dati di un cliente al fine di intraprendere un'indagine privata nella sua vita reale
- altre che non ricordo, ma basta cercare, eh...
ah.. e se ti fosse sfuggito hanno aperto il loro servizio ovunque senza prima consultare le leggi locali di ogni nazione, tant'è che in innumerevoli casi hanno dovuto chiudere, cambiare regole o altro... il che significa che hanno aperto un servizio illegale per diversi mesi.
Che le varie lobbies sono assurde e che dovrebbero accettare la concorrenza non lo metto in dubbio. Ma questo comportamento è ingiustificabile sia per come si sono fatti soffiare i dati sia per aver nascosto tutto. Hanno fatto un errore e ne devono pagare le conseguenze, lobby o meno.
Agghiaccianti le giustificazioni addotte dal nuovo Ceo
Parlavo dei taxi
Hanno fatto bene a non dire niente, uber è da un anno che combatte contro i governi e contro tutte le accuse, che comunque possono portare in cattiva luce l'azienda agli occhi degli utenti. Fosse uscita pure questa notizia avrebbe chiuso del tutto, ingiustamente direi solo perche ha affossato le lobby dei taxi.
Il paragrafo dove dite di contestualizzare la situazione sembra quasi una giustificazione per quello che hanno fatto :D Già il metodo dell'attacco è assurdo ma è ancora più assurdo che non abbiano detto niente e cercato di nascondere tutto pagando pure gli hacker. Mah, datemi del troglodita ma sono sempre più schifat0 dalla piega che ha preso il mondo tecnologico, sono sempre più convinto che meno si utilizzano questi nuovi servizi e meglio sti sta. Ora aspetto i commenti di chi mi consiglierà di andare a vivere in una caverna :D