1

Uber, maxi furto (taciuto) di dati

New York. Due pirati informatici. Il furto di dati su decine di milioni di persone da un leader della new – e sharing – economy. Un ricatto e un riscatto pagato in gran segreto; un complotto per coprire le tracce dello scandalo. Nonché la possibile violazione di norme e leggi federali.


Negli Stati Uniti è esploso un nuovo, drammatico caso-Uber: questa volta al centro è la violazione di 57 milioni di account di clienti e autisti avvenuta nel 2016 e rivelata soltanto ora. Una rivelazione che ha messo in dubbio la credibilità, le pratiche etiche e l’immagine del gigante da 70 miliardi di dollari del ride-sharing, dei taxi alternativi, mentre è tuttora alla ricerca di un rilancio da recenti crisi sotto nuova leadership in vista di uno sbarco in Borsa forse nel 2019. Ma la posta in gioco è ancora più alta del solo gruppo di San Francisco: la vicenda ha esposto sia le continue, profonde vulnerabilità del settore high-tech e Internet, sia il pericolo di risposte fallaci o inadeguate alle sfide da parte delle imprese. Ha sollevato lo spettro di un “Selvaggio West” lontano dall’essere domato quando si tratta della frontiera digitale.
Uber ha reagito alla debacle con una nuova mini-purga: subito cacciato il chief security officer, Joe Sullivan, veterano del settore in passato responsabile della sicurezza a Facebook e prima procuratore federale specializzato proprio nel crimine cibernetico. Fuori anche il responsabile dell’ufficio legale, Craig Clark. Il board, che ha scoperto l’operazione degli hacker nel corso di inchieste interne, ha ingaggiato quale consulente speciale Matt Olsen, ex legale dell’agenzia di intelligence elettronica National Security Agency, e gli specialisti di sicurezza della Mandiant per fare piena luce con un’indagine indipendente.
Dara Khosrowshahi, chief executive di Uber da agosto al posto dell’estromesso Travis Kalanick, sul sito dell’azienda ha sottolineato che quanto avvenuto «non avrebbe mai dovuto accadere. Non posso cancellare il passato ma posso impegnarmi a nome di tutti i dipendenti di Uber a imparare dagli errori. Stiamo cambiando il modo di fare business, mettendo al centro l’integrità».
Lo scandalo si è consumato durante la gestione di Kalanich, che resta nel cda dopo essere uscito dal management sotto accusa per abusi di potere e per aver spinto una cultura ultra-aggressiva e dannosa per l’azienda, compreso il ricorso a software irregolari per evitare controlli della polizia. Nella vicenda in questione l’ex capo della sicurezza, Sullivan, fu contattato da una coppia di hacker che asserì di essersi impadronita di una copia di dati di 57 milioni di persone – nomi, e-mail, numeri di telefono – chiedendo oltre 100mila dollari per distruggerla. Sullivan pagò.
La violazione di dati, per dimensioni e delicatezza, appare inferiore agli scandali moltiplicatisi negli ultimi anni, da Yahoo, dove finirono nel mirino 3 miliardi di account globali, alla società di valutazione del credito Equifax, dove furono compromesse informazioni finanziarie su 145,5 milioni di americani. Ma l’aspetto più preoccupante della saga di Uber è che trascende il furto: per nascondere del tutto lo scandalo l’azienda rintracciò in realtà i pirati e fece loro firmare un accordo di non-disclosure. Poi occultò il patto creando ad arte una versione falsa degli eventi: il pagamento alla coppia sarebbe stato in cambio di servizi, di un “bug bounty” che li remunerava per attacchi-test ai sistemi informatici.