Uber si è accordata con la giustizia americana: pagherà 148 milioni di dollari (125 milioni di euro) per porre fine al procedimento investigativo riconnesso al colossale data breach risalente a due anni orsono in cui furono trafugati i dati personali di 57 milioni di individui.
Nell’ottobre 2016 (leggi qui) la scarse misure di sicurezza poste a protezione della piattaforma permisero ad un hacker di impossessarsi:
- nomi, e-mail, indirizzi e numeri di telefono di 50 milioni di utenti;
- identificativi e contatti di 7 milioni di driver, comprensivi di 600 mila numeri di patente.
Uber venne a conoscenza della violazione nel novembre 2016. In quel momento, anche tenuto conto che al tempo la società era sotto indagine per altri problemi legati di privacy e data protection, il gigante del trasporto privato avrebbe dovuto tempestivamente notificare il data breach alle autorità ed avvisare gli interessati i cui dati erano stati compromessi. Ma, anziché seguire gli obblighi di trasparenza stabiliti dalla legge statunitense, Uber ha cercato di insabbiare tutto versando 100.000 USD al hacker per occultare le tracce del cyberattacco: al pirata informatico è stato chiesto di eliminare i dati in proprio possesso e di mantenere assoluto riserbo sull’accaduto.
Solo nel novembre 2017, oltre un anno dopo l’accaduto, il neo insediato CEO Dara Khosrowshahi rendeva pubblico il data breach scusandosi per l’accaduto e, contestualmente, annunciava il licenziamento del Chief Security Officer e il suo vice quali responsabili dell’accaduto. Ma il mea culpa non poteva scacciare lo spettro di pesanti class action ed impedire l’attivarsi della Federal Trade Commission e dei procuratori di tutti i 50 stati federali (ed anche il nostro Garante Privacy non mancò di aprire una propria istruttoria a tutela dei cittadini italiani).
Uber ha ora deciso di “patteggiare” la chiusura delle indagini versando una cifra record che non sarà devoluta alle vittime del furto ma sarà suddivisa tra i vari stati federali che li utilizzeranno prevalentemente come fondi a favore della tutela di cittadini e consumatori. Il procuratore generale Underwood dello stato di New York (che riceverà 5 milioni di USD) ha in questa dichiarazione ha fatto sapere che: “Questo accordo è un messaggio chiaro: abbiamo tolleranza zero per coloro che snobbano la legge ed espongono a vulnerabilità le informazioni di consumatori e lavoratori ”.
L’accordo prevede – oltre al pagamento – l’impegno da parte di Uber a:
- rafforzare le misure e le policy di sicurezza dei propri sistemi informatici;
- ingaggiare società terze qualificate che conducano regolarmente audit approfonditi sugli standard di security
Il Chief Legal Officer di Uber poco fa ha pubblicato una breve nota dal titolo significativo Turning the Page on the 2016 Data Breach in cui – dopo aver rievocato il suo traumatico primo giorno di lavoro, quello in cui la società di San Francisco rendeva noto l’accaduto – indica l’accordo milionario come il punto di svolta che suggellerà il percorso intrapreso dal nuovo management all’insegna dei principi di “transparency, integrity, and accountability” e della piena disponibilità a collaborare con le autorità di ogni paese.
