Data breach di Uber Technologies annunciato dall’hacker

Il gigante dei servizi per la mobilità Uber Technologies sembra aver subito un gravissimo data breach, paragonabile solo al disastroso incidente che nel 2016 aveva compromesso le informazioni relative a oltre 57 milioni di suoi utenti e per il quale, nel nostro Paese, la società ha ricevuto pesanti sanzioni economiche dal Garante per la protezione dei dati personali.

“I announce I am a hacker and Uber has suffered a data breach”

Questa volta l’attaccante – appena diciottenne, come riportato dal New York Times – ha violato gli spazi di archiviazione cloud ospitati da Amazon e Google, nonché la rete di comunicazione interna sulla piattaforma Slack, dopo essersi inserito all’interno di sistemi e reti aziendali con modalità attualmente al vaglio delle indagini: secondo le sue stesse dichiarazioni, avrebbe ottenuto le credenziali di un dipendente mediante comuni tecniche di ingegneria sociale. Ha poi preso contatto, proprio dall’account violato, con gli impiegati di Uber e con diversi ricercatori di sicurezza per diffondere le vulnerabilità riscontrate.

Un’ipotesi di bug bounty (o semplice ricerca di visibilità) più che il frutto di intenti malevoli, quindi? Resta il danno d’immagine per un’azienda attiva in 72 Paesi e responsabile di trattare i dati di milioni di persone che nonostante i suoi 3 miliardi di dollari di fatturato annuo sembra non aver sufficientemente investito in strumenti e strategie di sicurezza informatica, prima fra tutte la formazione del personale, per tutelare i propri clienti. Una leggerezza che rischia di costare alla compagnia, oltre alle ovvie ricadute reputazionali, ulteriori sanzioni da parte delle varie autorità nazionali coinvolte.