L'attacco hacker a Uber è una storia inquietante per l'azienda e per noi

Eugenio Cau

Quando i cybercriminali hanno attaccato, il vecchio ceo ha fatto di tutto per coprire la cosa. Quante volte è successo con altri?

Roma. La storia dell’hackeraggio di 57 milioni di utenti di Uber rivelata martedì notte dalla compagnia aiuta a comprendere molte cose su Uber, sulla nuova e la vecchia gestione di una delle aziende private di maggior valore al mondo e, più in generale, su quel gigantesco mucchio di polvere sotto al tappeto che è la sicurezza digitale, problema a cui tutti cercano di evitare di pensare finché non si trovano il database violato e il conto in banca svuotato. La storia, in breve, è questa: nel 2016 due hacker bucano Uber. Attaccando un server di terze parti ottengono i dati (nomi, numeri di telefono, indirizzi email…) di 57 milioni di persone tra passeggeri e driver. I due, preso il malloppo, contattano Uber e chiedono un riscatto di 100 mila dollari in cambio della cancellazione dei dati rubati. Uber, che allora era ancora guidata dal fondatore Travis Kalanick in qualità di ceo, acconsente alla richiesta e versa la somma ai due hacker. Fin qui la storia è brutta, ma rientra nella norma. La cosa eccezionale avviene dopo. Uber rintraccia i due hacker e, ha scritto il New York Times, gli fa firmare un contratto di “non disclosure”, in base al quale i due sono legalmente obbligati a non rivelare niente della transazione con la società. Poi maschera il pagamento del riscatto come una “bug bounty”, vale a dire quel processo in cui hacker “buoni” segnalano alle aziende le vulnerabilità (“bug”) in cambio di una ricompensa (“bounty”). In pratica: per evitare che si diffondesse la notizia che Uber era stata bucata, Kalanick e il suo capo della sicurezza, Joe Sullivan si sono mossi ben al di fuori delle regole con il fine di nascondere l’attacco e ingannare utenti e investitori. Mercoledì Sullivan è stato licenziato.

 

Questo racconta una prima cosa su Uber, che già sapevamo ma che trova sempre più conferme strada facendo: sotto la guida di Travis Kalanick, uomo geniale e vulcanico, la compagnia aveva perso ogni punto di riferimento etico. Il caso dell’attacco hacker tenuto nascosto si va a sommare ai tantissimi altri – dalle molestie sulle dipendenti donne alle accuse di concorrenza sleale lanciate dai competitor a quelle di spionaggio industriale alla violazione sistematica della privacy degli utenti – che sono diventati pubblici durante l’èra Kalanick e continuano a uscire anche adesso che il fondatore si è ritirato (ma è rimasto nel consiglio di amministrazione, pronto a zompare di nuovo alla prima occasione) e che il ceo è diventato, da fine agosto, Dara Khosrowshahi. Questa è la seconda riflessione: la gestione Kalanick continua a infestare ogni mossa del povero Khosrowshahi, che sta cercando di risollevare le sorti e la reputazione dell’azienda con una campagna di buoni sentimenti tanto disperata quanto, almeno per ora, inutile. Servono a poco i video pubblicitari con i bimbi sorridenti e i buoni sentimenti ben in evidenza (ne circola uno in questi giorni) quando escono notizie ammazza-morale come quella dell’hackeraggio. Come ha notato malignamente Bloomberg, Khosrowshahi non ha tempo di fare il ceo (chief executive officer) quando è costretto a fare il chief apology officer, il funzionario in capo alle richieste di perdono.

 

E qui possiamo ampliare il discorso, perché il caso specifico dell’attacco hacker a Uber ci consente di chiederci: quante volte è già successo? Quante volte una compagnia è stata hackerata, i suoi dati sono stati rubati e, tramite un accordo con i criminali digitali o in altra maniera, tutto è stato messo a tacere? E’ una fattispecie di hackeraggio interessante questo in cui la vittima – non tanto l’hacker – non vuole farsi scoprire. Di solito avviene il contrario: la vittima viene esposta e l’hacker fa di tutto per rimanere ignoto, come successo con l’attacco al Partito democratico da parte di agenti russi durante la campagna elettorale americana dell’anno scorso. L’attacco a Uber arricchisce un pantheon di hackeraggi a cui appartengono il celebre ransomware, che blocca i computer e i sistemi informatici compromessi finché non si paga un riscatto, o gli attacchi, per così dire, a rilascio graduale, come quello che ha colpito Yahoo nel 2013: inizialmente si riteneva avesse coinvolto un miliardo di persone, solo quest’anno si è scoperto che i miliardi erano tre, e che se avete un account di Yahoo ci siete dentro anche voi. Ogni attacco è un nuovo scandalo e un nuovo imbarazzo per l’azienda colpita, colpevole a volte di non essersi protetta, a volte di non aver messo in atto per tempo giuste contromisure, a volte di avere come ceo la persona sbagliata. E’ comprensibile che le aziende vogliano nascondere il misfatto. Ma questo complica le cose per noi vittime potenziali: sappiamo che, se non siamo già stati colpiti dagli hacker, siamo i prossimi della lista, o quelli subito dopo. Poco importa che si parli di aziende multinazionali o cittadini comuni, alla fine toccherà a tutti. Ma ecco, se ci tengono nascosti gli attacchi già avvenuti, diventa più probabile che ci sia già toccato, e ancora non lo sappiamo.

 

Di più su questi argomenti:
  • Eugenio Cau
  • E’ nato a Bologna, si è laureato in Storia, fa parte della redazione del Foglio a Milano. Ha vissuto un periodo in Messico, dove ha deciso di fare il giornalista. E’ un ottimista tecnologico. Per il Foglio cura Silicio, una newsletter settimanale a tema tech, e il Foglio Innovazione, un inserto mensile in cui si parla di tecnologia e progresso. Ha una passione per la Cina e vorrebbe imparare il mandarino.