I clienti di Uber stanno viaggiando nel buio? Non sulle strade reali, ma in quelle più subdole del cosiddetto “dark Web”, dove migliaia di account di utenti registrati al servizio sarebbero stati messi in vendita. Almeno due diverse persone, secondo il sito Motherboard, starebbero vendendo i dati di account Uber attivi su AlphaBay, un luogo di mercato nero che opera attraverso la rete anonima di Tor. Bisogna usare il condizionale perché la società creatrice del servizio di “autonoleggio con conducente” ha formalmente smentito: “Abbiamo investigato, senza trovare alcuna prova di violazioni”.
“Tentare di accedere senza permesso o di vendere i dati di un account è illegale”, prosegue la nota di Uber, “e abbiamo contattato le autorità in merito a questo report. È una buona occasione per ricordare alle persone di impiegare username e password forti e uniche, e di evitare di riutilizzare su più siti e servizi le stesse credenziali”. Nonostante questa smentita, non è la prima volta che l’ipotesi di data breach rischia di intaccare la credibilità di Uber: poco più di un mese fa la società, nata nel 2010 e con sede a San Francisco, ha ammesso di aver subito una violazione hacker.
Un episodio risalente al maggio dello scorso anno e scoperto poi a settembre, durante il quale i dati di 50mila suoi autisti (attuali e passati) potrebbero essere stati rubati. Una volta accortasi del danno, l’azienda aveva provveduto a rinforzare le sue misure di sicurezza e aveva avviato una denuncia contro ignoti per poter identificare i colpevoli. Stando alle dichiarazioni di Uber, nessuna compravendita o altre tracce di attività illegale erano seguite alla violazione.
E ora? Il nuovo episodio appare tanto più grave sia perché coinvolge non i dipendenti/collaboratori di Uber, ma più il vasto bacino dei suoi utenti iscritti, sia perché sembrerebbe esserci la prova di una compravendita di dati in corso. Prova comunque tutta da verificare e smentita da Uber. I due venditori, Courvoisier e ThinkingForward, si vantano di possedere “migliaia” di account e ne propongono l’acquisto al costo di un dollaro l’uno, nel primo caso, e di cinque dollari nel secondo (con la promessa che si tratta di soli account attivi).
Uber è attualmente disponibile in 55 Paesi del mondo
Potenzialmente, un furto dai database di Uber metterebbe a disposizione informazioni come indirizzi email, numeri di telefono, cronologia degli acquisti e degli spostamenti su macchine Uber, nonché – quel che più conta – le ultime quattro cifre e la data di estinzione della carta di credito. Stando al venditore che si fa chiamare Courvoisier (che ha risposto a un messaggio del giornalista di Motherboard), chi comprasse questi dati dovrebbe semplicemente effettuare un log in e, sotto la falsa identità, potrebbe usufruire di corse pagate dalla “vittima”. Almeno finché quest’ultima non si accorgesse di strani prelievi dalla propria carta di credito.
La redazione di Motherboard si è preoccupata di fare qualche verifica. Effettivamente, uno degli account rivenduti su AlphaBay corrisponde a un cliente reale di Uber, o meglio a un ex cliente, che contattato telefonicamente ha confermato la coincidenza della propria password con quella rivenduta online. L’account non era più attivo, ma questa singola evidenza sembrerebbe invalidare le rassicurazioni giunte da Uber.