Uber zahlte lieber Lösegeld
Fahrdienstvermittler Uber hat ein Jahr lang den Diebstahl von Millionen Kundenund Fahrerdaten verschwiegen. Der Konzern ließ sich stattdessen auf einen Deal mit den Hackern ein.
Bereits im Oktober 2016 verschafften sich Hacker Zugriff auf die Daten von etwa 50 Millionen Uber-Kunden und sieben Millionen Fahrern. Die Angreifer nutzten eine Sicherheitslücke auf dem Cloud-Server eines Drittanbieters aus. Bei den persönlichen Informationen handelte es sich um Namen, E-Mail-Adressen und Telefonnummern. Bei der Attacke seien nach bisherigen Erkenntnissen aber keine Kreditkartendaten oder Informationen zu Fahrten gestohlen worden, betonte die Firma.
Statt Behörden oder Betroffene zu benachrichtigen, handelte der damalige Chef von Ubers Konzernsicherheit, Joe Sullivan, unter CEO und Mitbegründer Travis Kalanick einen Deal mit den Angreifern aus: 100.000 Dollar Lösegeld wurden bezahlt, damit die gestohlenen Daten vernichtet werden. Sowohl Sullivan als auch Kalanick sind heute nicht mehr in ihren Positionen: Sullivan und ein weiterer Manager verloren ihre Jobs, Kalanick räumte erst im heurigen Sommer den Chefposten – unter dem Druck von Investoren. Der neue Uber-Chef Dara Khosrowshahi erklärte am Dienstag zum Hackerangriff und der darauffolgenden Vertuschung: „Nichts davon hätte passieren dürfen, und wir werden nicht nach Ausreden dafür suchen.“Er selbst habe erst vor Kurzem von dem Datendiebstahl erfahren, schrieb der seit Anfang
September amtierende Khosrowshahi. „Ich kann die Vergangenheit nicht ausradieren, aber ich kann versprechen, dass wir aus unseren Fehlern lernen werden.“Uber ändere die Art, wie es sein Geschäft führe. Als eine der Maßnahmen engagierte Khosrowshahi einen früheren Chefjuristen des US-Geheimdienstes NSA, Matt Olsen, als Berater. Er solle dazu beitragen, die Sicherheitseinrichtungen bei Uber neu zu gestalten.
Die Vertuschung wirft einen weiteren Schatten auf die Amtszeit von Travis Kalanick, die von vielen Skandalen um den aggressiv auftretenden Fahrdienstvermittler geprägt war. Uber hatte bei der rasanten internationalen Expansion in vielen Ländern gegen geltende Reglements verstoßen.
Die Verheimlichung des Datenlecks ist aber nicht nur ein Bruch des Nutzervertrauens, sondern hat auch rechtliche Folgen: Die New Yorker Staatsanwaltschaft hat bereits Ermittlungen aufgenommen. Besonders brenzlig für Uber könnte nun werden, dass die Hacker sich auch Zugriff auf Führerscheine von rund 600.000 Fahrern in den USA verschaffen konnten. Führerscheine werden in Amerika oft als Ausweisdokumente verwendet, was die Daten wertvoll macht.
Nur wenige Stunden nach der Enthüllung gab es bereits die erste Klage gegen Uber. Ein Mann aus Los Angeles wirft der Firma unter anderem vor, Daten von Fahrern und Passagieren nicht ausreichend geschützt zu haben. Er will eine Sammelklage auf die Beine stellen.