La violazione della sicurezza di Uber dimostra quanto ci fidiamo delle aziende con i nostri dati

Gli smartphone sono il centro di gran parte della nostra vita, e con buone ragioni. Diversi studi hanno proposto che gli smartphone stessi siano a questo punto un’estensione dell’essere umano, ed è per questo che le violazioni della privacy sono così gravi. Se ci pensi, ha senso. Inviamo messaggi ai nostri cari, pianifichiamo le nostre giornate e interagiamo con il mondo reale utilizzando i nostri smartphone come mezzo principale. Questo è uno dei motivi principali per cui la violazione della sicurezza di Uber è un grosso problema.

Se hai mai utilizzato un servizio di ride-hailing come Uber, fai un passo indietro e pensa a che tipo di dati hai inserito nell'app. Hai sicuramente inserito gli indirizzi e potresti anche aver inserito il tuo indirizzo di casa più di una volta. Come hai pagato? Con la tua carta di credito? E ovviamente dovevi collegare anche il tuo numero di telefono e la tua email, giusto? E il tuo nome completo? Se una qualsiasi informazione individuale fosse condivisa online, probabilmente staresti bene. Ma tutto questo, in un unico posto, allo stesso tempo? Questo è un male ed è una ricetta per il furto di identità, la frode con carta di credito o, nel peggiore dei casi, conseguenze nel mondo reale come stalking o aggressione. Nel 2017 l’ufficio di credito americano Equifax è stato violato e ha offerto agli utenti interessati fondi di liquidazione e monitoraggio gratuito del credito a vita. Fino a 147,9 milioni di americani correvano il rischio che la propria identità venisse rubata, poiché nella violazione venivano rubate informazioni come SSN, nomi completi, date di nascita e altro ancora.

Possono esserci conseguenze nel mondo reale come stalking o aggressioni

Al momento, la portata della violazione della sicurezza di Uber non è stata confermata. I rapporti suggeriscono che l’hacker ha avuto accesso praticamente a tutti i settori verticali dell’azienda, inclusi dati finanziari, codice sorgente delle app e database contenenti informazioni sugli utenti. Si dice che abbiano sostanzialmente recuperato le chiavi del castello e un rapporto Il New York Timessostiene di aver intervistato l'hacker. Il kicker? Secondo quell'intervista, l'hacker ha solo 18 anni. Ovviamente esiste un mondo in cui potrebbero mentire sulla loro età (e altre informazioni in essa contenute intervista) ma ci sono stati moltissimi giovani coinvolti in attacchi su larga scala come questi il passato.

I dati che condividiamo ci definiscono

Se qualcuno rubasse il tuo smartphone e riuscisse ad accedervi, probabilmente potrebbe scoprire tutto su di te. Scoprirebbero i tuoi interessi, le tue abitudini, dove vivi e altro ancora, ma non è tutto. Potrebbero scoprire tutti i tipi di informazioni personali, potrebbero scoprire i tuoi dati sanitari e probabilmente potrebbero perseguitarti in base alla cronologia delle posizioni e ai luoghi frequentati, se lo volessero A. Se hai un animale domestico, presumibilmente anche il nome del tuo animale domestico è da qualche parte sul tuo telefono. Un americano su tre, secondo l'analista della ricerca Aura, hanno usato il nome del loro animale domestico come password. Se sei quello su tre, la persona che ti ha rubato il telefono potrebbe ora essere in grado di accedere anche ai tuoi account online.

Riponiamo molta fiducia nelle aziende con i nostri dati. Alcune violazioni della sicurezza possono rovinare la vita se i dati cadono nelle mani sbagliate e se avessi un account Uber che ho utilizzato più di una volta, mi preoccuperei di quali informazioni potrebbero essere ora disponibili su Internet. Non si sa cosa sia stato rubato, poiché tesori di dati del genere possono essere venduti per un sacco di soldi sul mercato clandestino. Anche se il tuo smartphone è protetto da una password, stai inserendo un quantità di fiducia nei sistemi di sicurezza del tuo telefono. Solo di recente è stata riscontrata una vulnerabilità nel chip di sicurezza Titan M (trovato in Telefoni Google Pixel) fissato in un Aggiornamento patch di sicurezza Androide ha consentito l'escalation dei privilegi con "l'interazione dell'utente non necessaria per lo sfruttamento". I ricercatori erano allora in grado di estrarre chiavi crittografiche che non dovrebbe mai lasciare il dispositivo.

La violazione di Uber dovrebbe essere un invito a rivalutare le aziende di cui ti fidi

In altre parole, la violazione di Uber dovrebbe essere un invito a rivalutare le aziende di cui ti fidi e con quali dati. Anche se non conosciamo ancora appieno la portata di tale violazione, era solo questione di tempo prima che un’azienda subisse una violazione di questa potenziale portata. Mentre ci si aspetta che le aziende seguano le migliori pratiche nell'archiviazione dei dati degli utenti (inclusi l'hashing e il salting user password, carte di credito e altro), riponi molta fiducia nelle aziende che le hanno seguite al meglio pratiche. Anche se un'azienda afferma di aver crittografato tali password, ciò non significa che sarai al sicuro per sempre in caso di fuga di dati.

Ad esempio, prendi Riot Games' League of Legends. Nel 2012, l'azienda è stata violata e vari attributi di identificazione personale e password "crittografate" sono trapelati online. Nel 2018, un sottoinsieme di tali dati è trapelato online con password in chiaro probabilmente violate da quelle password "crittografate" sei anni prima. Dieci anni sono tanti e da allora gli standard di sicurezza si sono evoluti, ma il punto è che non sai mai cosa sta succedendo ai tuoi dati in un dato momento una volta che sono disponibili.

Se hai un account Uber, vale sicuramente la pena tenere d'occhio le notizie per vedere quali dati sono trapelati, se ce ne sono. Anche se risultasse che nulla è stato condiviso online, l'azienda ha comunque confermato la violazione ed è allarmante pensare all'accesso che qualcuno potrebbe avere alla tua vita personale.