Uber, gli impiegati possono vedere tutto il database, non c'è sicurezza

Uber non ha nessuna protezione sui suoi database: la privacy degli utenti non è rispettata, e tutti i dipendenti sembrano in grado di vedere le corse dei passeggeri. Il database è una terra promessa per gli hacker?

Uber App e servizio

Un articolo del Washington Post ha portato l’attenzione su un incidente capitato a Uber, che finora non ha ricevuto l’attenzione dovuta: un individuo ha detto di essersi presentato per un colloquio di lavoro presso la startup e di aver ricevuto le credenziali per il login mentre la sua candidatura veniva esaminata. Per un'intera giornata, anche dopo che il suo colloquio era finito, questa persona è rimasta in grado di accedere al database di Uber in modo completo. Ha potuto fare ricerche, ha trovato nomi di amici e parenti - anche quello di una persona vicina a un individuo politico rilevante, senza che ci fosse nessun tipo di controllo o limitazione.

Questa affermazione non è stata smentita in alcun modo da Uber, e il problema è enorme, non tanto per l’errore di aver mantenuto attive le credenziali di un estraneo per un lungo periodo di tempo - può capitare - quanto piuttosto per il valore di tali credenziali. Da questo incidente infatti si desume che gli impiegati di Uber siedono su un tesoro di dati privati, e che ciascuno di essi possa accedere ad esso come e quando vuole. Ci sono altri due esempi simili che provano esattamente quanto Uber possa diventare pericoloso:

  • Un dirigente di Uber ha senza problemi estratto una cronologia degli spostamenti di una giornalista di Buzzfeed
  • Durante una festa, il personale di Uber ha ben pensato di visualizzare in tempo reale tutti gli spostamenti degli utenti su una schermata decorativa

Queste sono le capacità della “God View” di Uber, un tool che gli autisti ovviamente non possiedono, ma che a quanto pare è raggiungibile da tutti i dipendenti interni. E se è così diffusa, vuol dire che potenzialmente è raggiungibile da un hacker. Un malintenzionato, una spia domestica o straniera per esempio, potrebbe farsi assumere da Uber, o semplicemente trovare una maniera per compromettere la sicurezza di un qualsiasi impiegato della startup e accedere ai dati di tutti gli utenti.

Lyft è il rivale di Uber che sta traendo maggiore vantaggio dalle debacle della startup

Uber è un servizio di successo ed è usato anche da politici ed esponenti del mondo finanziario, non ci vuole molto a capire che genere di mappa si potrebbe disegnare con i suoi dati. Chiunque lo usa, insomma, dovrebbe partire dal presupposto che se non sarà spiato oggi, potrebbe essere spiato domani: questione di quando e non di se, anche perché i dati di un utente rimangono registrati sui database del servizio.

Via | Washington Post

  • shares
  • Mail
1 commenti Aggiorna
Ordina: