Uber verheimlicht über ein Jahr Hackerangriff und massiven Datenverlust
Unbekannte erbeuten persönliche Daten von 57 Millionen Fahrgästen und 7 Millionen Fahrern. Ihnen fallen zudem KFZ-Kennzeichen von rund 600.000 US-Fahrern in die Hände. 2016 zahlt Uber den Tätern 100.000 Dollar, um den Vorfall zu vertuschen.
Uber wurde laut einem Bericht von Bloomberg vor mehr als einem Jahr das Opfer eines Hackerangriffs. Den Vorfall sowie seine Folgen hielt das Unternehmen jedoch seitdem geheim. Dazu gehört der Verlust persönlicher Daten von rund 57 Millionen Nutzers des Fahrdiensts sowie von mehr als 7 Millionen Fahrern, die für Uber arbeiten.
Kurz nach Veröffentlichung des Berichts bestätigte Uber den Angriff. Demnach hatten zwei Personen unerlaubt Zugriff auf Daten, die auf einem cloudbasierten Service eines Drittanbieters gespeichert waren. Es sei den Tätern nicht gelungen, in Uber-Systeme einzudringen.
Trotzdem fielen den Tätern Namen, E-Mail-Adressen und Telefonnummern von Uber-Nutzern in die Hände. Sie erbeuten außerdem die Namen und KFZ-Kennzeichen von rund 600.000 Fahrern in den USA. Darüber hinaus wurden Namen, E-Mail-Adressen und Handynummern von Fahrern weltweit kompromittiert.
Das Unternehmen betont, dass externe Sicherheitsexperten keine Anhaltspunkte für Zugriffe auf Kreditkartendaten, Bankkontonummern, Sozialversicherungsnummern oder Geburtstagen gefunden hätten. Auch seien keine Informationen über Fahrrouten entwendet worden.
“Als das passiert ist, haben wir sofort Maßnahmen ergriffen, um die Daten zu schützen und weitere unerlaubte Zugriffe zu verhindern”, heißt es auf einer Hilfe-Seite von Uber. Auch die Sicherheit der Daten sei verbessert worden. Derzeit informiere man betroffene Fahrer per Post oder E-Mail und biete ihnen eine kostenlose Kreditüberwachung sowie einen Schutz vor Identitätsdiebstahl an.
Fahrgästen empfiehlt das Unternehmen, ihr Uber-Konto sowie ihre Kreditkarten und Bankkonten genau im Auge zu behalten und das Unternehmen im Fall von Unregelmäßigkeiten über das Hilfe-Center zu kontaktieren. Als zusätzlichen Schutz vor Betrugsversuchen überwache man zudem die Uber-Konten von Betroffenen.
Darüber hinaus entschuldigte sich das Unternehmen zumindest bei seinen Fahrern für die Vertuschung des Datenverlusts. “Als wir im November 2016 von dem Vorfall erfahren haben, ergriffen wir Maßnahmen, um Schäden einzudämmen und zu verhindern, aber wir haben die Fahrer nicht informiert. Wir glauben, das war falsch, weswegen wir jetzt die beschriebenen Schritte eingeleitet haben. Wir haben keine Hinweise auf Betrug oder Missbrauch im Zusammenhang mit dem Vorfall gefunden.”
Bloomberg zufolge befanden sich die fraglichen Daten auf einem Server von Amazon Web Services. Zuvor knackten die Täter ein privates GitHub-Konto von zwei Uber-Mitarbeitern. Die heruntergeladenen Daten sollen sie Uber zum Kauf angeboten haben. Um den Angriff geheim zu halten, soll Uber den Hackern unter anderem 100.000 Dollar gezahlt haben. Die Geheimhaltung des Vorfalls soll zudem in dieser Woche dem Chief Security Officer von Uber sowie einem seiner Stellvertreter den Job gekostet haben.
Uber-CEO Dara Khosrowshahi will nämlich nach eigenen Angaben erst kürzlich von dem Datenverlust erfahren haben. “Als Chef von Uber ist es meine Aufgabe, den Kurs für die Zukunft abzustecken, der damit beginnt, dass wir ein Unternehmen schaffen, auf das jeder Mitarbeiter, Partner und Kunde von Uber stolz sein kann”, sagte der Manager gestern. “Um das zu ermöglichen müssen wir ehrlich und transparent sein, während wir unsere früheren Fehler korrigieren.” Sein Vorgänger, der Uber-Gründer Travis Kalanick, soll Bloomberg zufolge schon seit November 2016 von dem Vorfall gewusst haben.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.