Uber-gate: violati i dati 20 milioni di utenti

Uber-gate: violati i dati 20 milioni di utenti

La chiave di accesso per scaricare dal cloud storage file non crittografati che contenevano più di 25 milioni di nomi e indirizzi e-mail, 22 milioni di numeri di cellulare e 600 mila nomi e numeri di patente di guida sono stati piratati senza che Uber denunciasse la violazione nel 2016.

Lo sostiene la Federal Trade Commission (Ftc) degli Stati Uniti secondo la quale Uber ha pagato a chi si è introdotto nel suo sistema 100 mila dollari mediante il programma di «bug bounty» \[cacciatore di «bug» o «virus»\] di terzi e non ha rivelato la violazione ai consumatori né alla Commissione fino al novembre 2017. I soldi sarebbero stati incassati da un ventenne della Florida, responsabile della violazione di dati, pagato per distruggerli attraverso un programma normalmente utilizzato per identificare le piccole vulnerabilità del codice.

Uber avrebbe chiesto all’hacker di firmare un accordo di non divulgazione per scoraggiare ulteriori atti illeciti. Secondo la Reuters, Uber ha anche condotto un’indagine per assicurarsi che i dati siano stati eliminati. Il ragazzo viveva «con sua madre in una piccola casa cercando di aiutare a pagare le bollette» hanno sostenuto i membri del team che si occupa di sicurezza per Uber nel dicembre 2017. L’azienda ha deciso di non perseguirlo. È una prassi diffusa tra queste imprese che scelgono di non segnalare alle autorità intrusioni più aggressive perché ritengono che sia più facile negoziare direttamente con gli hacker e limitare eventuali danni e panico tra i clienti. Dopo l’accaduto Uber ha licenziato il capo della sicurezza, Joe Sullivan, e il suo vice, Craig Clark.

Per le autorità Usa la creazione di un programma di «bug bounty» non permette a Uber e a qualsiasi altra azienda di decidere quali violazioni della legge sono applicabili a loro. La Ftc oggi sostiene che il programma «bug bounty» è stato creato per fornire ricompense finanziarie a chi ha denuncia le vulnerabilità del sistema e non per individuare chi sfrutta tale vulnerabilità accedendo alle informazioni personali dei consumatori.
La Ftc non ha preso provvedimenti perché la piattaforma ha accettato di estendere alla violazione del 2016 l’intesa già raggiunta con la Ftc per un’altra mega violazione dei dati avvenuta nel 2014 quando furono 57 milioni di persone ad essere «violate». L’accordo del 2014 è stato esteso alla violazione del 2016 e prevede severe multe nel caso in cui Uber non rivelerà subito le violazioni future. Inoltre, l’accordo obbliga la società a conservare le registrazioni sulle segnalazioni di «bug» e sulle vulnerabilità del sistema. L’accordo sarà soggetto a osservazioni pubbliche per 30 giorni fino al 14 maggio, dopodiché la Commissione deciderà se procedere. Ogni violazione può comportare una sanzione civile fino a 41.484 dollari. Da moltiplicare per 20 e più milioni di volte.

«Dopo aver fuorviato i consumatori sulle sue pratiche in materia di privacy e sicurezza, Uber ha aggravato il suo comportamento scorretto omettendo di informare la Commissione di aver subìto un’altra violazione dei dati nel 2016, mentre stavamo indagando sulla violazione del 2014, sorprendentemente simile – ha detto Maureen K. Ohlhausen, presidente facente funzioni della Ftc – Le disposizioni rafforzate dell’accordo ampliato mirano a garantire che in futuro Uber non adotti comportamenti scorretti analoghi».

FONTE: Roberto Ciccarelli, IL MANIFESTO



Related Articles

Joseph Stiglitz: “America in prima linea bisogna evitare Grexit e quel referendum non è stato inutile”

Joseph Stiglitz. Per il Nobel dell’Economia, l’accordo sarebbe una vittoria del buon senso: “Washington aiuti la Grecia visto che Bruxelles non fa la sua parte. La Merkel smetta di fare propaganda: Atene non sta per fallire”

Per le politiche sociali un fondo da 10,8 milioni

 

Dopo la “mancata intesa” sancita dalla Conferenza delle regioni sul riparto del Fondo Politiche sociali, c’è sconcerto per la gravità  del momento. Marzocchi (E.Romagna): “Sono a rischio coesione sociale e posti di lavoro”

No comments

Write a comment
No Comments Yet! You can be first to comment this post!

Write a Comment