Cabify sta esaminando affermazioni secondo cui un attore minaccioso avrebbe ottenuto un database contenente informazioni dettagliate su centinaia di migliaia dei suoi conducenti. Un utente noto come Perro ha pubblicato campioni su un forum online e ha offerto in vendita l’intero dataset. I campioni sembrano includere nomi completi, indirizzi di casa, numeri di telefono, indirizzi email e identificatori collegati a Facebook Account Kit. I ricercatori che hanno esaminato il materiale affermano che la struttura dei dati è coerente con le informazioni raccolte durante l’imbarco del conducente.
Cabify, con sede a Madrid e operante in tutta la Spagna e l’America Latina, non ha confermato se i suoi sistemi o quelli di terze parti siano stati compromessi. L’azienda non ha inoltre commentato quando sono stati ottenuti i dati presunti né se si riferiscano a conducenti attuali o passati. Gli analisti notano che i campi trapelati suggeriscono che la fonte potrebbe essere un sistema di registrazione o verifica dell’identità piuttosto che dati di supporto di routine. L’onboarding degli autisti consiste comunemente nella raccolta di informazioni personali e di contatto, insieme a identificatori di social media o piattaforme utilizzati per l’autenticazione.
La natura dei dati esposti solleva preoccupazioni perché i registri includono molteplici informazioni personali che possono essere combinate per impersonare i conducenti o prenderli di mira con messaggi fraudolenti. Indirizzi, numeri di telefono e informazioni email possono essere utilizzati per l’ingegneria sociale. Gli identificatori dei social media potrebbero permettere ai criminali di collegare gli account online a profili reali, aumentando la credibilità delle truffe mirate. Gli specialisti della sicurezza affermano che dataset di questa dimensione sono attraenti per gli attori minacciosi perché offrono ampie opportunità per attacchi basati sull’identità.
Anche le considerazioni normative entrano in rilievo. Se i dati risultano autentici e provenienti dai sistemi di Cabify, l’azienda sarà tenuta a valutare gli obblighi di notifica ai sensi della legge europea sulla privacy. Il Regolamento Generale sulla Protezione dei Dati richiede alle organizzazioni di notificare i regolatori e le persone interessate quando informazioni esposte costituiscono un rischio di danno. Dati personali come indirizzi residenziali e dati di contatto sono considerati sensibili quando collegati a un individuo identificabile. Le aziende che operano in più regioni devono anche coordinarsi con le autorità regionali se i dati coinvolgono conducenti al di fuori dell’Unione Europea.
L’incidente mette in evidenza le sfide di cybersicurezza affrontate dalle piattaforme di mobilità che gestiscono grandi volumi di informazioni sull’identità. I sistemi di registrazione dei conducenti gestiscono l’identificazione rilasciata dal governo, i documenti di controllo dei precedenti e le informazioni dettagliate di contatto che possono rimanere preziose per i criminali anche dopo la loro raccolta di informazioni. Queste piattaforme potrebbero non avere sempre lo stesso livello di investimento in sicurezza delle istituzioni finanziarie, nonostante contengano dati altrettanto sensibili. Gli analisti affermano che i registri di onboarding trapelati spesso continuano a circolare su forum clandestini anche dopo le prime vendite, portando a un’esposizione a lungo termine per le persone interessate.
Cabify non ha fornito una tempistica per la sua revisione interna. I ricercatori di sicurezza raccomandano ai conducenti che hanno condiviso informazioni con l’azienda di rimanere vigili ai messaggi che richiedono dati personali, richieste di verifica impreviste o modifiche ai dettagli dell’account. Consigliano inoltre di monitorare i conti finanziari e di identità per eventuali attività insolite mentre l’azienda indaga sulla richiesta.