Alla fine del 2016, per la precisione a ottobre, sono stati sottratti a Uber i dati personali relativi a
57 milioni di utenti in tutto il mondo e di circa 600 mila autisti degli Stati Uniti. Nel caso degli utenti i dati sottratti comprendono nomi, indirizzi di posta e numeri di cellulare. In più, agli autisti sono stati carpiti anche i dati delle loro patenti. La falla nella sicurezza
è stata comunicata pubblicamente dal CEO
Dara Khosrowshahi, che da poco ha sostituito il controverso co-fondatore Travis Kalanick.
L'incidente non è stato causato da una violazione vera e propria della rete di Uber. Da quanto si sa, due hacker hanno
rubato attraverso GitHub le credenziali di utenti interni della società, credenziali che hanno permesso di accedere a un altro servizio cloud in cui erano custoditi i dati.
Sempre a quanto se ne sa, il furto di dati non dovrebbe aver coinvolto anche informazioni sensibili come i
numeri di carte di credito o le coordinate bancarie degli utenti.
Il problema principale per Uber sta piuttosto nel
come l'incidente è stato gestito. La società ha provveduto a mettere in sicurezza l'accesso al cloud esterno, però non ha comunicato la violazione alle autorità e anzi ha cercato di nasconderla. Le agenzie
riportano che Uber avrebbe
pagato centomila dollari agli hacker autori del furto perché distruggessero le informazioni rubate.
Il nuovo CEO Khosrowshahi ha comunicato che "
due delle persone che hanno guidato la reazione all'incidente" sono state licenziate. Tra queste c'è anche
il CSO Joe Sullivan.