Uber-gate: violati i dati 20 milioni di utenti
La chiave di accesso per scaricare dal cloud storage file non crittografati che contenevano più di 25 milioni di nomi e indirizzi e-mail, 22 milioni di numeri di cellulare e 600 mila nomi e numeri di patente di guida sono stati piratati senza che Uber denunciasse la violazione nel 2016.
Lo sostiene la Federal Trade Commission (Ftc) degli Stati Uniti secondo la quale Uber ha pagato a chi si è introdotto nel suo sistema 100 mila dollari mediante il programma di «bug bounty» \[cacciatore di «bug» o «virus»\] di terzi e non ha rivelato la violazione ai consumatori né alla Commissione fino al novembre 2017. I soldi sarebbero stati incassati da un ventenne della Florida, responsabile della violazione di dati, pagato per distruggerli attraverso un programma normalmente utilizzato per identificare le piccole vulnerabilità del codice.
Uber avrebbe chiesto all’hacker di firmare un accordo di non divulgazione per scoraggiare ulteriori atti illeciti. Secondo la Reuters, Uber ha anche condotto un’indagine per assicurarsi che i dati siano stati eliminati. Il ragazzo viveva «con sua madre in una piccola casa cercando di aiutare a pagare le bollette» hanno sostenuto i membri del team che si occupa di sicurezza per Uber nel dicembre 2017. L’azienda ha deciso di non perseguirlo. È una prassi diffusa tra queste imprese che scelgono di non segnalare alle autorità intrusioni più aggressive perché ritengono che sia più facile negoziare direttamente con gli hacker e limitare eventuali danni e panico tra i clienti. Dopo l’accaduto Uber ha licenziato il capo della sicurezza, Joe Sullivan, e il suo vice, Craig Clark.
Per le autorità Usa la creazione di un programma di «bug bounty» non permette a Uber e a qualsiasi altra azienda di decidere quali violazioni della legge sono applicabili a loro. La Ftc oggi sostiene che il programma «bug bounty» è stato creato per fornire ricompense finanziarie a chi ha denuncia le vulnerabilità del sistema e non per individuare chi sfrutta tale vulnerabilità accedendo alle informazioni personali dei consumatori.
La Ftc non ha preso provvedimenti perché la piattaforma ha accettato di estendere alla violazione del 2016 l’intesa già raggiunta con la Ftc per un’altra mega violazione dei dati avvenuta nel 2014 quando furono 57 milioni di persone ad essere «violate». L’accordo del 2014 è stato esteso alla violazione del 2016 e prevede severe multe nel caso in cui Uber non rivelerà subito le violazioni future. Inoltre, l’accordo obbliga la società a conservare le registrazioni sulle segnalazioni di «bug» e sulle vulnerabilità del sistema. L’accordo sarà soggetto a osservazioni pubbliche per 30 giorni fino al 14 maggio, dopodiché la Commissione deciderà se procedere. Ogni violazione può comportare una sanzione civile fino a 41.484 dollari. Da moltiplicare per 20 e più milioni di volte.
«Dopo aver fuorviato i consumatori sulle sue pratiche in materia di privacy e sicurezza, Uber ha aggravato il suo comportamento scorretto omettendo di informare la Commissione di aver subìto un’altra violazione dei dati nel 2016, mentre stavamo indagando sulla violazione del 2014, sorprendentemente simile – ha detto Maureen K. Ohlhausen, presidente facente funzioni della Ftc – Le disposizioni rafforzate dell’accordo ampliato mirano a garantire che in futuro Uber non adotti comportamenti scorretti analoghi».
FONTE: Roberto Ciccarelli, IL MANIFESTO
Related Articles
Banche venete: smentito Padoan, il salvataggio è costato 11,2 miliardi
Certificazione Eurostat. Smentito il ministro Padoan: il deficit aumenta di 4,7 mld e rischia di arrivare al 2,2% Servirà manovra correttiva?
Alle coppie gay i benefici di legge anche nei Paesi senza matrimoni
Lo ha stabilito una sentenza dell’Alta Corte di Giustizia europea
Quattro detenuti su dieci hanno condanne per droga