Anche Uber, come Yahoo (e chissà quante altre aziende), ha svelato pubblicamente con mesi di ritardo un attacco cyber subito, che nello specifico ha visto la sottrazione di nomi, indirizzi email, numeri di telefono e circa 600 mila numeri di patenti appartenenti a 57 milioni di utenti tra passeggeri e autisti dell’azienda americana.

L’attacco a Uber è avvenuto nell’ottobre del 2016, ma solo ora, con quindi un anno di ritardo e dopo aver pagato circa 100.000 dollari agli autori dell’attacco perché questi non utilizzassero i dati trafugati, Uber ha dichiarato pubblicamente il fattaccio. Il nuoco CEO della compagnia Dara Khosrowshai, succeduto ad agosto a Travis Kalanick, ha dichiarato a Bloomberg che non ci sono scusanti per l’incidente e che nulla di tutto ciò sarebbe mai dovuto accadere.

Kalanick, secondo quanto si è appreso in questi giorni, era venuto a conoscenza dell’attacco circa un mese dopo, ma assieme al CSO Joe Sullive, allontanato da Uber proprio in questi giorni, avrebbe deciso di tenere tutto segreto e di non rivelare nulla.

uber

I dettagli sull’attacco, compresi i suoi responsabili, non sono ancora molti, ma sembra che i dati più sensibili come gli itinerari degli utenti e i numeri delle loro carte di credito non siano stati sottratti e che i dati trafugati non siano comunque stati utilizzati in alcun modo.

Conscia della gravità dell’accaduto, Uber si è già preparata ad affrontare le conseguenze di questa rivelazione sia assoldando un ex consulente NSA per lavorare a stretto contatto con il team di sicurezza interno della società, sia offrendo servizi di monitoraggio per controllare eventuali furti di identità o altri problemi che potrebbero nascere dal furto dei dati.

C’è poi tutto il versante giudiziario, che si prevede agirà su diversi fronti. Non solo il Procuratore Generale dello Stato di New York, Eric Schneiderman, ha avviato un’indagine sull’incidente, ma lo stesso potrebbero fare la Federal Trade Commission e soprattutto lo Stato della California dove ha sede il quartier generale di Uber, visto che secondo le leggi californiane le aziende colpite da violazioni che interessano più di 500 residenti dello Stato sono obbligate a rivelare il prima possibile l’attacco.