Fast ein halbes Jahr ist vergangen nachdem bekannt wurde, dass angeblich zwei Hacker 57 Mio. Nutzerdaten von Uber gestohlen hatten. Nun kommen mehr Einzelheiten darüber ans Tageslicht.

Laut Berichten steckte ein noch unbekannter 20-Jähriger aus ärmlichen Verhältnissen in Florida dahinter. Uber zahlte dem jungen Mann 100.000 US-Dollar Schweigegeld und für die Zerstörung der gestohlenen Daten. Bisher hieß es, diese Ausgaben wurden intern verbucht. Nun wurde bekannt, dass Uber das anders handhabte.

Uber hat die Zahlung im vergangenen Jahr durch ein Prämienprogramm für Fehlerfindung abgewickelt, so die neueste Erkenntnis. Viele Unternehmen haben ähnliche Belohnungsprogramme. Sicherheitsforscher können darüber Softwarefehler melden und werden dann dafür monetär belohnt. Ubers Prämienprogramm wird von dem Serviceanbieter HackerOne verwaltet. Über dessen Plattform können Sicherheitsforscher Sicherheitslücken melden und Prämien dafür erhalten. Viele Firmen nutzen inzwischen solche Plattformen. Allerdings gibt es laut dem HackerOne Firmenchef Marten Mickos, klare Regeln für eine solche Abwicklung. Identifikationsdaten des Empfängers werden in entsprechenden Formularen der Steuerbehörde eingetragen, bevor die Zahlung geleistet werden kann. Außerdem seien Belohnungen in dieser Größenordnung eine Seltenheit. Üblich seien Beträge zwischen 5.000 – 10.000 US-Dollar. HackerOne hostet die Plattform lediglich als Abwickler zwischen den jeweiligen Parteien. Er hat ansonsten keinen weiteren Einfluss.

Die Statistiken von HackerOne sind öffentlich zugänglich. Nachvollziehbar ist, dass Uber seit Beginn seines Belohnungsprograms bereits 1.289.595 US-Dollar an Prämien ausbezahlt hat. Allerdings gibt es hier keine öffentlichen Zahlungsdetails. Es gibt auch keinen anderen Nachweis ob der Betrag an eine Person womöglich in kleineren Beträgen ausbezahlt wurde. Alles immer noch sehr dubios. Und der neu ernannte Uber-Chef Dara Khosrowshahi hat weiterhin einiges klarzustellen. Das unethische Vorgehen Ubers sei bedenklich, äußerten sich andere Unternehmen wie Bugcrowd.

Dara Khosrowshahi feuerte inzwischen zwei hohe IT-Sicherheitsfachleute. Andere verließen Uber in Eigeninitiative. Es ist immer noch nicht klar, wer seinerzeit alle Entscheidung getroffen habe. Insbesondere was die Zahlung an den Hacker und Geheimhaltungsstrategie angeht. Die Ehemaligen sagen dazu öffentlich bisher nichts. Es wird gemunkelt, Uber hätte vielleicht etwas Mitleid mit dem armseligen Hacker in Florida, der zu Hause bei Muttern lebte, gehabt. Womöglich sahen die Verantwortlichen keine weitere Bedrohung und sahen von einer Strafverfolgung ab. Doch klar ist hier noch lange nichts.

Der junge Hacker in Florida zog die Sache nicht ganz ohne Beihilfe durch. Er musste eine zweite Person für spezielle Dienstleistung bezahlen. Dienste, die ihm Zugriff auf GitHub ermöglichten. GitHub wird gerne von Programmierern genutzt, um Code abzuspeichern. Dort lagen wohl auch die Anmeldeinformationen für die Uber-Server. Und GitHub bestätigt, dass ihre Sicherheitssysteme seinerzeit nicht kompromittiert wurden.

Auch wenn manche Unternehmen den effektiveren und simpleren Weg gehen, direkt mit Hackern zu verhandeln, ist es ungesetzlich. Allerdings kann dadurch der Schaden der betroffenen Kunden deutlich begrenzt werden. Khosrowshahi, verteidigt daher auch die damaligen sofortigen Schritte zur Datensicherung. Man habe die Täter identifiziert und sichergestellt, dass die heruntergeladenen Daten zerstört wurden. Danach hätte man bei Uber Sicherheitsmaßnahmen eingeführt, die den Zugriff auf die Cloud-basierten Speicher zu beschränken.

Viele denken aber, dass es schon sehr verdächtig ist, so extreme Vertuschungsmaßnahmen zu ergreifen. Mit der Zeit, wird sicher noch mehr zu diesem Fall ans Tageslicht kommt.

Artikel von reuters.com, 07.12.2017: Exclusive: Uber paid 20-year-old Florida man to keep data breach secret – sources
Artikel von arstechnica.com, 07.12.2017: Uber used bug bounty program to launder blackmail payment to hacker
Artikel von scmagazine.com, 07.12.2017: Uber paid Florida hacker responsible for breach $100K through bug bounty program

Urheberrechte Beitragsbild: shutterstock.com