Uber hat Hacker bezahlt, um massive Datenschutzverletzungen zu verbergen

Getty





Uber hat in den letzten Jahren viele falsche Abzweigungen genommen. Aber das Neueste ist sicherlich eines der schädlichsten. Bloomberg hat aufgedeckt dass das Unternehmen mehr als ein Jahr lang eine massive Datenschutzverletzung verschwiegen hat, die sensible Daten von Millionen von Fahrern und Kunden offengelegt hat. Die Verletzung, die im Oktober 2016 stattfand, wurde Berichten zufolge von Ubers Chief Security Officer, Joe Sullivan, und anderen verschwiegen. Sullivan und einer seiner Stellvertreter wurden von der Firma verdrängt. Travis Kalanick, Mitbegründer und ehemaliger CEO des Unternehmens, wurde kurz nach dem Vorfall auf den Verstoß aufmerksam gemacht.

In einem Pressemitteilung kurz nach dem Erscheinen von Bloombergs Geschichte veröffentlicht, sagte der derzeitige CEO von Uber, Dara Khosrowshahi, Hacker seien in der Lage gewesen, Dateien mit einer beträchtlichen Menge an Informationen herunterzuladen, darunter die Namen und Führerscheinnummern von rund 600.000 Fahrern in den Vereinigten Staaten sowie persönliche Informationen wie Namen, E-Mail-Adressen und Mobiltelefonnummern von 57 Millionen Uber-Nutzern auf der ganzen Welt. Das Unternehmen sagt, dass externe forensische Experten, die es zur Analyse des Verstoßes hinzugezogen hat, keinen Hinweis darauf gesehen haben, dass Kreditkartennummern, Bankkontodaten und Sozialversicherungsnummern heruntergeladen wurden. Aber es hieß nicht, dass solche Details nicht verletzt worden waren.

Wie bei früheren Mega-Hacks werden in den kommenden Tagen und Wochen weitere Details bekannt werden. Aber es gibt bereits drängende Fragen, die schnelle Antworten erfordern. Wer genau wusste innerhalb der Uber-Mitarbeiter von dem Hack, nachdem er aufgetreten war, und wie viele Personen waren aktiv an der Vertuschung beteiligt, bei der es darum ging, den Hackern 100.000 US-Dollar zu zahlen, um Daten zu löschen und die Verletzung geheim zu halten? Wurde damals irgendjemand im Uber-Vorstand über den Einbruch informiert? Wenn nein, warum nicht? Und warum hat Uber die Regulierungsbehörden nicht schnell über den Hack informiert?



Verwandte Geschichte Eine kleine, aber wachsende Zahl von Cybersicherheitsunternehmen führt Garantieprogramme ein, die als Versicherung gegen die Kosten einer potenziellen Datenschutzverletzung dienen können.

Der Bericht von Bloomberg besagt, dass Uber zum Zeitpunkt des Verstoßes bereits mit US-Regulierungsbehörden über separate Datenschutzverletzungen gesprochen und gerade einen Fall mit der Federal Trade Commission wegen Missbrauchs von Verbraucherdaten beigelegt hatte. Es berichtete auch letzten Monat, dass der Vorstand des Unternehmens eine Untersuchung der Aktivitäten von Sullivans Sicherheitsteam eingeleitet hatte. Es war die externe Anwaltskanzlei, die diese Bemühungen leitete, die den Hack und die Vertuschung aufdeckte.

Der Verstoß wirft große Fragen zum Stand der Sicherheitspraktiken von Uber auf. Laut Bloomberg konnten die Eindringlinge Anmeldeinformationen von Uber-Ingenieuren auf Github, einem weit verbreiteten Code-Repository, finden. Diese verschafften ihnen Zugang zu einem Cloud-Computing-Server von Amazon, auf dem die Daten gespeichert sind. Das ist ein erschreckender Verstoß gegen die Sicherheitsgrundlagen. Erstaunlich ist auch, dass anscheinend so große Mengen an sensiblen personenbezogenen Daten unverschlüsselt auf einem Drittanbieter-Dienst gespeichert wurden.

Uber bemüht sich nun, den Schaden für seinen Ruf zu begrenzen. Das Unternehmen hat einen ehemaligen General Counsel der NSA eingestellt, um ihm dabei zu helfen, seine Sicherheitspraktiken zu überdenken, und hat auch Mandiant beauftragt, eine Cybersicherheitsfirma, die sich mit den Folgen vieler hochkarätiger Verstöße befasst hat. Khosrowshahi erfuhr erst kürzlich von dem Verstoß. Nichts davon hätte passieren dürfen, sagte er in der Pressemitteilung, und ich werde keine Ausreden dafür finden. Das ist auch gut so, denn das Verhalten und die Praktiken, die zu diesem Fiasko geführt haben, sind unentschuldbar.



verbergen