Uber data breach
SICUREZZA INFORMATICA

Uber data breach: l'importanza della sicurezza preventiva

I garanti della privacy di Regno Unito e Olanda se la sono presa con Uber martedì scorso, colpendolo con una multa di $1,170,892. La ragione è l’aver fallito nel proteggere le informazioni dei loro clienti durante il cyber-attacco del 2016.

Lo scorso anno, Uber ha rivelato che la compagnia ha subito una violazione di sicurezza nell’ottobre 2016. Questa violazione ha messo a rischio nomi, indirizzi e-mail e numeri di telefono di 57 milioni di utenti e autisti Uber (a rischio anche i numeri di patente di circa 600mila autisti). Ma non è finita qui. La compagnia al posto di denunciare l’accaduto e avvertire i clienti del data breach, pagò i due hacker responsabili del furto di dati, cercando di spazzare il problema sotto il tappeto.

La verità, alla fine, viene sempre a galla. Il fatto è arrivato comunque alle orecchie delle autorità che hanno deciso di punire la compagnia americana: l’ICO (Information Commission’s Office) britannica ha multato di circa 385mila sterline Uber. L’Autorità per la Protezione dei Dati in Olanda, invece, si è spinta fino a 600mila euro. La causale è l’aver fallito nel proteggere i dati personali di 3 milioni di britannici e 174mila cittadini olandesi.

“Nel 2016 c’è stata un preoccupante furto di dati sull’app Uber, un data breach che ha visto l’accesso non autorizzato di hacker alle informazioni personali di clienti e autisti. Uber è stata multata perché non ha denunciato il fatto alla DPA olandese e ai soggetti interessati entro 72 ore dalla scoperta del problema, come avrebbe dovuto fare”

afferma un portavoce della DPA.

Anche l’ICO ha confermato che i Cyber Criminali responsabili dell’attacco sono stati in grado di compromettere l’intero sistema di memoria di Uber, basato sul cloud.

Il comportamento dell’azienda

“Uber non ha seguito le norme del programma Bug bounty.”

Continua ad accusare l’ICO. Il programma Bug bounty è un accordo offerto agli utenti, i quali vengono premiati se segnalano i bug – specialmente quelli che riguardano gli exploit e altri punti deboli del sistema – agli sviluppatori.

“Invece di identificare semplicemente una vulnerabilità e farlo sapere agli utenti, come sarebbe stato più saggio fare, questi hacker, che Uber ha trattato come normali utenti coinvolti nel programma Bug bounty, hanno sfruttato i problemi di sicurezza dell’applicazione per entrare in possesso di informazioni personali.”

La società americana ha cominciato a osservare più da vicino, a monitorare gli utenti e gli autisti i cui dati erano stati rubati, nell’intento di scovare un’eventuale frode. Tutto questo nei 12 mesi successivi al Cyber Attack.

A quel punto, quando ormai tutti sapevano, Uber informò le autorità competenti e offrì agli utenti e agli autisti derubati una protezione contro il furto d’identità e dei crediti gratuiti. La compagnia inoltre assicurò tutti che dati personali sensibili, quali:

  • i luoghi in cui gli utenti e gli autisti erano stati;
  • dati di pagamento;
  • dati della previdenza sociale;
  • date di nascita;

non erano stati toccati.

Sicurezza preventiva e GDPR

Poiché questa violazione è avvenuta prima che il GDPR (Regolamento generale sulla protezione dei dati), entrasse in vigore, nel maggio 2018, Uber in un certo senso ha avuto vita facile. Se questo data breach e il relativo comportamento scorretto della compagnia fosse avvenuto dopo il maggio 2018, la multa sarebbe stata ancora più salata. Le autorità competenti si sono basate su un Data Protection Act del 1998 (per quanto riguarda il Regno Unito), quindi in un certo senso Uber se l’è cavata con poco: “solamente” 385.000 sterline.

La multa sarebbe potuta essere molto più grave se ci fosse stato il GDPR di mezzo: per una violazione della privacy di tali dimensioni, col nuovo regolamento dell’Unione Europea, infatti, le compagnie rischiano una multa fino a 17 milioni di sterline, o in alternativa, il 4% dei loro ricavi annuali.

Il caso Uber è solamente un esempio emblematico. Ce ne sono moltissimi altri e ce ne saranno ancora molti. Questo perché le aziende non si focalizzano a dovere sulle tematiche di sicurezza preventiva.

Avere un framework di cybersecurity che consenta di individuare preventivamente le minacce sfruttabili da un potenziale attaccante, è fondamentale. Questo è il motivo per cui attività di:

Ossia attività di sicurezza preventiva che permettono di identificare le vulnerabilità note all’interno dei propri sistemi, sono necessarie.

Federico D’Agostino

Swascan Marketing Manager

Contenuti sponsorizzati