Im Oktober 2016 fand ein Sicherheitsvorfall bei Uber statt. 57 Millionen Nutzerdaten wurden von zwei Hackern erbeutet. Anschließend konnten sie auf ein Amazon Webservices-Konto zugreifen, von dem sie die Daten entwendeten. Die Nutzerdaten waren von den eigenen Uber-Fahrern als auch den Kunden.

Laut den Verantwortlichen waren auch Uber Kontaktdaten wie Telefonnummern, E-Mailadressen, Namensdaten und auch 600.000 Führerscheinnummern von Uber-Fahrern darunter. Erfahren hat die Welt dies erst vor Kurzem. Die Hacker gelangten an die Anmeldeinformationen zum Uber-Entwicklerkonto via GitHub. Danach nahmen sie mit Uber Kontakt auf und stellten ihre Forderung.

Uber bezahlte 100.000 US-Dollar Schweigegeld an die Hacker. Damit sollten die gestohlenen Daten zerstört werden. Der Betrag wurde bei Uber intern unter anderen Ausgaben verbucht. Zwei Monate später wurden die Betroffenen erst darüber informiert, über ein Jahr später die Öffentlichkeit und die Behörden. Uber-CEO Dara Khosrowshahi wollte die IT-Forensik hierzu erst abschließen, bevor sein Unternehmen damit an die Öffentlichkeit gehen wollte, hieß es. Allerdings mussten deswegen erst einmal zwei IT-Sicherheitsverantwortliche ihren Hut nehmen. Man warf ihnen vor, bei der Aufklärung des Vorfalls falsch vorgegangen zu sein.

Khosrowshahi sagte zwar, man hätte seinerzeit alles Mögliche unternommen, um die Daten zu sichern und weitere Zugriffsmöglichkeiten zu unterbinden durch bessere IT-Sicherheitsmaßnahmen. Außerdem wären die Hacker identifiziert worden. Und all das ist ja nicht einmal geschwindelt. Allerdings ist es schon alarmierend, dass Uber den Sicherheitsvorfall nicht wie vorgeschrieben an die Behörden gemeldet hat. Die zuständigen US-Behörden haben das Unternehmen sowieso schon auf dem Radar wegen ähnlicher Vorfälle aus 2014.

Wie die Hacker exakt an die Zugangsdaten gelangten, lässt sich nur vermuten. Sicherheitsexperten vermuten, dass Entwickler die Daten fahrlässigerweise ungesichert auf einer Testplattform abgelegt hatten. Insider wissen, dass IT-Entwickler hier gerne etwas schlampig arbeiten und die Daten fast nie ordentlich überwachen. IT-Forscher schieben den Vorfall auch auf andere generelle Sicherheitsmaßnahmen. Darunter, dass die Daten manchmal wahllos irgendwo abgespeichert werden und dass Entwickler vielleicht keinen generellen Zugang zu wichtigen Datenvolumen haben sollten.

Währenddessen hat Uber noch viel mehr Probleme hinter den Kulissen. Ein ehemaliger Angestellter hat diese Woche vor Gericht behauptet, Uber habe Schritte unternommen, um auch andere Geschäftspraktiken zu verbergen. Er nannte in diesem Zusammenhang eine interne Uber-Richtlinie die festlegte, dass Team-Apps wie Wickr verwendet werden sollten. Bei Wickr werden Daten nicht gesichert.

Daneben sind drei Uber-Topmanager zurückgetreten angesichts der Datenpannen und Vorgänge in Gerichtsverhandlungen mit der Firma Waymo. Hier wird Uber vorgeworfen, Leute beschäftigt zu haben, die die Computer von Konkurrenzunternehmen ausspionierten und Uber auch Schritte unternommen hat, um die Ermittlungen darüber zu verhindern.

Artikel von theregister.co.uk, 22.11.2017: Uber: Hackers stole 57m passengers, drivers‘ info. We also bribed the thieves $100k to STFU
Artikel von darkreading.com, 22.11.2017: Uber Paid Hackers $100K to Conceal 2016 Data Breach
Artikel von cyberscoop.com, 21.11.2017: Uber paid $100K to cover up 2016 data breach of 57 million users

Urheberrecht Beitragsbild: shutterstock.com