La notizia di oggi mette un po' di fibrillazione ai milioni di utenti che usano il denaro virtuale, per pagare i servizi, attraverso diverse forme di pagamento digitali.
Uber, secondo quanto riferito da Bloomberg, ha tenuto nascosto per oltre un anno di aver subito un hackeraggio dei dati di ben 57 milioni di utenti nel mondo, di cui 600 mila conducenti. E sempre secondo Bloomberg, l'azienda avrebbe preferito pagare un riscatto di 100mila dollari agli autori del maxifurto per evitare che divulgassero la notizia.
Ad ammettere la sottrazione dei dati è stato il Ceo, Dara Khosrowshahi, che ha preso la guida di Uber da agosto e che ha sostenuto di aver saputo dell'incidente solo "recentemente". In particolare sono stati hackerati i nomi, le email e i numeri di telefono degli utenti, oltre ai numeri di patente dei conducenti.
Di fronte a questo importante evento di cyber crime, vediamo le risposte di alcuni vendor che operano nel mercato della sicurezza e che tutti i giorni combattono una guerra sottotraccia contro gli hacher.

TREND MICRO
Bello pesante il commento di  Rik Ferguson, Vice President Security Research Trend Micro
“Non c’è dubbio che il precedente management e il team di security di Uber abbia fallito per quanto concerne le sue responsabilità verso i conducenti, la giustizia e soprattutto i clienti. E la lista è abbastanza lunga. Nonostante gli attaccanti possano essere stati messi a tacere, i furti digitali non hanno le stesse regole di quelli del mondo fisico, non si possono 'ricomprare i negativi' una volta che i dati sono stati rubati. Il fatto incoraggiante è vedere il nuovo management condannare la violazione, ma rimango preoccupato da alcune parole citate nel blog di Khosrowshahi. Sembrerebbe prendere le distanza dai servizi cloud di terze parti, obiettivo della violazione, per separare nettamente l’infrastruttura e il sistema  corporate. Questo ci fa capire le radici del problema. I servizi cloud adottati da un’azienda, sono di fatto infrastrutture e servizi corporate, e da un punto di vista della security dovrebbero essere trattati come tali. Le responsabilità non si possono delegare all’esterno”.

SOPHOS
Chester Wisniewski, Principal Research Scientist di Sophosha commentato così l’episodio: “La violazione dei dati di Uber dimostra, ancora una volta, che l’attenzione per la sicurezza non deve mai venire meno. E’ importante ricordare che non bisogna condividere né archiviare chiavi di accesso nei repository del codice sorgente. Ho la sensazione di aver già visto questo film… anche se di solito le aziende non vengono scoperte mentre cercano di insabbiare questo tipo di attacchi. Lasciando da parte per un attimo il clamore mediatico della vicenda e anche senza considerare il potenziale impatto di un episodio simile in vista della nuova normativa GDPR, il caso UBER è l’ennesimo esempio di un’inadeguata applicazione delle pratiche di sicurezza. Purtroppo, questo tipo di incidente avviene più spesso in contesti lavorativi estremamente flessibili”.
AncheJames Lyne, Cyber Security Advisor di Sophos ha commentato l’attacco: “Uber non è l’unica, e non sarà l’ultima azienda che tenta di nascondere un cyberattacco o un furto di dati. Non avvisare i clienti non fa che aggravare la situazione, mettendo l’azienda a rischio di ripercussioni legali. Questo è uno dei motivi principali per cui diversi paesi stanno adottando regole stringenti che obblighino le imprese a comunicare tempestivamente gli attacchi subiti e i dati compromessi”.
Ai clienti e agli autisti di Uber, Sophos consiglia di tenere sotto controllo i propri movimenti bancari e di tenersi aggiornati su eventuali aggiornamenti relativi al tipo di dati sottratti dai cybercriminali.
Per ulteriori informazioni sull’attacco hacker subito da Uber consultare l’articolo di Sophos Naked Security:
https://nakedsecurity.sophos.com/2017/11/22/uber-suffered-massive-data-breach-then-paid-hackers-to-keep-quiet/