Il caso Uber

Prendo spunto da questi due articoli di DarkReading:
- https://www.darkreading.com/attacks-breaches/ubers-security-slip-ups-what-went-wrong/d/d-id/1330496;
- https://www.darkreading.com/application-security/git-some-security-locking-down-github-hygiene/d/d-id/1330511.

Il primo riassume il caso Uber: a ottobre 2016 dei malintenzionati sono riusciti a raccogliere i dati di 57 milioni di autisti e clienti di Uber; Uber li ha pagati 100mila dollari per cancellare i dati rubati e non divulgare la notizia. La notizia si è però diffusa e Uber è ritenuta colpevole di non aver avvisato gli interessati della violazione ai loro dati personali (misura del GPDR, nuova per alcuni, ma già presente in altre normative).

Il secondo articolo discute le questioni tecniche, altrettanto interessanti. Gli sviluppatori usavano un ambiente GitHub, in cui archiviavano codice e dati, inclusi quelli poi compromessi. Qui i punti dolenti sono vari: gli sviluppatori non avrebbero dovuto avere accesso a quella mole di dati, né salvarli in un ambiente non completamente controllato.

GitHub ha sicuramente messo a disposizione degli sviluppatori una serie di strumenti per assicurare la sicurezza dei dati (controllo di assenza di dati critici, di configurazioni e di credenziali, il controllo accessi solo a utenti "aziendali" e non "pubblici", l'impostazione degli archivi come "privati", la possibilità di verificare le autorizzazioni, la possibilità di attivare la strong authentication), ma probabilmente non erano stati attivati (ci si chiede anche se l'uso di GitHub era stato in qualche modo analizzato dai responsabili della sicurezza di Uber, oppure se era un'iniziativa degli sviluppatori).