Giovedì un messaggio sul sistema interno di Uber diceva ai dipendenti: “Vi annuncio che sono un hacker e che Uber ha subito una violazione dei dati”.
Secondo il New York Times, Uber è stata violata e ha dovuto mettere offline il suo servizio di messaggistica interna e i suoi sistemi di ingegneria per indagare sull’incidente. Le fonti citate nella pubblicazione hanno detto che i dipendenti sono stati istruiti a non andare su Slack, dove il malintenzionato ha postato un messaggio che recitava “Vi annuncio che sono un hacker e che Uber ha subito una violazione dei dati” (insieme a un mucchio di emoji) prima che venisse messo offline. In un tweet di conferma della violazione, l’azienda ha dichiarato che sta attualmente rispondendo a un incidente di cybersecurity e che è in contatto con le forze dell’ordine.
L’azienda non ha detto a cosa esattamente l’hacker abbia potuto accedere e se i dati degli utenti siano stati compromessi. Secondo il Times, il messaggio Slack dell’hacker elencava anche i database in cui l’hacker sostiene di essere riuscito a infiltrarsi. E in base agli screenshot visti dal Washington Post, il malintenzionato si è vantato di essere in grado di raccogliere codice interno e dati di messaggistica. Un portavoce di Uber ha spiegato che il malintenzionato è riuscito a postare su Slack dell’azienda dopo aver compromesso l’account di un lavoratore. Ha poi ottenuto l’accesso agli altri sistemi interni di Uber e ha pubblicato una foto esplicita su una pagina interna.
Il cacciatore di bug e ricercatore di sicurezza Sam Curry ha twittato le informazioni riportate da un dipendente di Uber che potrebbero riguardare la foto esplicita.
Uber ha ammesso l’incidente e si è messa in contatto con le autorità poco dopo l’accaduto, allontanandosi notevolmente dal modo in cui ha gestito la violazione dei dati subita nel 2016. L’azienda ha nascosto l’attacco per un anno e, invece di denunciare l’incidente, ha pagato agli hacker 100.000 dollari per cancellare le informazioni rubate. L’ex capo della sicurezza di Uber, Joseph Sullivan, è stato licenziato e infine accusato di ostruzione alla giustizia per il ruolo svolto nell’insabbiamento, anche se i suoi avvocati hanno sostenuto che è stato usato come capro espiatorio. Nel luglio di quest’anno Uber ha patteggiato con il Dipartimento di Giustizia per non aver rivelato la violazione.