Furto di dati a Uber
Il furto di ben 57 milioni di identità digitali (nomi, indirizzi e-mail, numeri di telefono, ma non carte di credito) appartenenti a clienti Uber non deve stupire. O meglio, deve stupire nella misura in cui si comprendono tutte le dinamiche.
Non è il primo caso di questo tipo, in cui il furto (parziale) di dati sensibili viene usato come leva di distrazione di massa.
Andiamo con ordine. Innanzitutto Uber non gestisce i dati dei clienti sui propri server, ma si affida al servizio di Amazon (AWS). Il luogo in cui sembrerebbe che i cyber criminali abbiano rubato le credenziali di accesso ai dati.
È possibile? Se sì, quali dovrebbero essere state le conseguenze reputazionali del servizio di Amazon? Da qui il caso sul furto di dati a Uber.
Il furto è avvenuto nel 2016 ma soltanto oggi ne viene data notizia. Strano, in genere le procedure interne di aziende (apparentemente) ben organizzate e globali come Uber, che gestiscono grosse quantità di dati, dovrebbero reagire in modo maggiormente trasparente nei confronti dei propri clienti. E questo a tutela di entrambi le parti. Sbaglio?
Il fatto che ciò non sia avvenuto si può spiegare in tre potenziali scenari:
- L’azienda non prevede alcuna procedura di intervento e notifica con i propri clienti, per cui è libera di fare ciò che vuole per meglio tutelare (soltanto) la propria reputazione.
- L’azienda ha delle procedure di gestione e notifica, ma considerata l’entità del furto ha preferito tacere e temporeggiare con la speranza che il riscatto non venisse mai scoperto o addirittura pagato.
- La dimensione dell’azienda è tale da infondere negli utenti la (falsa) percezione che i crismi di sicurezza (compliance compresa) siano sempre allo stato dell’arte, quando invece rincorrono come possono la velocità di crescita del business aziendale.
Ogni altro scenario possibile verrebbe ricondotto unicamente a una scarsa, provinciale e superficiale gestione della sicurezza.
Ma allora, in assenza di informazioni dettagliate sulla vera dinamica del furto, è lecito porsi alcune domande:
È possibile che un’azienda globale delle dimensioni di Uber affidi a terze parti la gestione dei dati sensibili di milioni di persone senza preoccuparsi di curare contrattualmente la tutela dei propri clienti in caso di furto di identità?
È possibile che l’azienda incaricata della sicurezza dei dati sensibili di Uber non sia in grado di chiarire in dettaglio le dinamiche del furto? Da sempre la migliore strategia per nascondere qualcosa è renderla visibile, ma allora perché non tutelarsi spiegando pubblicamente la vicenda nei dettagli?
È davvero così facile rubare le credenziali di accesso dei server in cui risiedono i dati sensibili di Uber? A quali crismi di sicurezza e controllo devono sottostare le persone incaricate di questo importante e delicato compito? Il furto di dati a Uber poteva essere evitato, se sì, come?
Il mio punto di vista nel TG della notte della Radiotelevisione svizzera – RSI – condotto da Alessandro Chiara e Alessandra Spataro. Per vederlo clicca qui.
Se vuoi approfondire il tema sulla sicurezza informatica rivedi l’intervista fatta a Stefano Zanero, esperto di fama mondiale sulla cybersecurity.
Hai domande? Scrivimi