Uber-Hack: Ex-CEO Kalanick ordnete Lösegeldzahlung persönlich an

Nach der Zahlung ermittelt Uber die Identität der Hacker. Es übergibt sie jedoch nicht den Behörden, sondern bringt sie zur Unterzeichnung einer Verschwiegenheitserklärung. Damit verstößt Uber möglicherweise gegen Gesetze und Absprachen mit Regulierungsbehörden.

Ehemalige und aktuelle Mitarbeiter von Uber haben gegenüber der New York Times weitere Details zum gestern gemeldeten Verlust von Kunden- und Fahrerdaten enthüllt. Offenbar wurde die Zahlung von 100.000 Dollar Lösegeld vom inzwischen entlassenen Chief Security Officer Joe Sullivan arrangiert, und zwar auf Anweisung des damaligen CEO Trevor Kalanick. Darüber hinaus wandelte Uber das Lösegeld nachträglich in ein Schweigegeld um.

Uber (Bild: Uber)Dem Bericht zufolge ermittelte Uber nämlich nach der Geldübergabe die Identität der Hacker, jedoch nicht, um sie Strafverfolgungsbehörden zu übergeben. Stattdessen drängte es die beiden weiterhin öffentlich nicht bekannten Täter, eine Verschwiegenheitserklärung zu unterzeichnen. Darüber hinaus gab das Management die 100.000 Dollar als Ausgaben für ein Bug-Bounty-Programm aus, um den Eindruck zu erwecken, externe Sicherheitsforscher hätten eine Sicherheitslücke entdeckt und vertrauensvoll an Uber gemeldet.

Die Vertuschung könnte nun rechtliche Konsequenzen für Uber haben. Das Unternehmen hatte bereits 2014 einen Datenverlust nicht ordnungsgemäß gemeldet und war dafür von der US-Handelsbehörde Federal Trade Commission gerügt worden. Im Rahmen einer Einigung mit der Behörde verpflichtete sich Uber zu freiwilligen Datenschutz- und Sicherheitskontrollen, und zwar über einen Zeitraum von 20 Jahren. Eine Reaktion der FTC zu dem erneuten Datenverlust steht laut TechCrunch noch aus.

Reagiert habe indes der Generalstaatsanwalt des US-Bundesstaats New York, Eric Schneiderman. Sein Büro habe die Einleitung eines Ermittlungsverfahrens zu dem Vorfall bestätigt. Denn nach dem früheren Datenverlust, der ebenfalls nicht zeitnah von dem Unternehmen kommuniziert wurde, habe Uber zugestimmt, die Sicherheit der Daten seiner Fahrer durch Verschlüsselung und mehrstufige Anmeldeverfahren zu verbessern.

Die New York Times weist darauf hin, dass Uber weitere rechtliche Schritte drohen könnten. Durch die von Uber angeordnete Löschung der gestohlenen Daten habe das Unternehmen möglicherweise gegen Bestimmungen der FTC zur Offenlegung von Datenverlusten verstoßen. Sie sähen vor, dass alle forensischen Beweise – also auch die entwendeten Daten – aufbewahrt werden müssten. Zudem sei Uber nach kalifornischem Recht verpflichtet, den Verlust von unverschlüsselten Daten wie KFZ-Kennzeichen offenzulegen. Welche der Uber gestohlenen Daten verschlüsselt oder nicht verschlüsselt waren, ist jedoch nicht bekannt.

Uber hatte den Hackerangriff am Dienstag öffentlich gemacht. Offenbar war es den Tätern gelungen, das private GitHub-Konto von drei Uber-Mitarbeitern zu knacken. Darüber gelangten sie zu auf Amazon Web Services gehosteten Servern, die die fraglichen Daten enthielten, darunter Namen und E-Mail-Adressen von 57 Millionen Fahrgästen und 7 Millionen Fahrern weltweit. Auch die KFZ-Kennzeichen von 600.000 US-Fahrern fielen ihnen in die Hände. Anschließend erpressten sie besagtes Lösegeld von 100.000 Dollar.

Der Sicherheitsanbieter CyberArk geht davon aus, dass bei dem Datenverlust nicht verwaltete oder ungeschützte privilegierte Zugangsdaten eine Rolle spielten. 99 Prozent der Teilnehmer einer Umfrage seien nicht in der Lage gewesen, alle Orte zu identifizieren, an denen privilegierte Accounts und Zugangsdaten hinterlegt seien. „Dieser Mangel an Sichtbarkeit und Kontrolle schafft enorme Möglichkeiten für Angreifer“, teilte Udi Mokady, CEO von CyberArk, mit.

ANZEIGE

Aktuelle Studie zur Dokumentensicherheit in deutschen Büros

Eine aktuelle Statista-Umfrage (im Auftrag von KYOCERA Document Solutions) hat ergeben: Der deutsche Mittelstand hat Nachholbedarf beim Thema Dokumentensicherheit. Mehr als die Hälfte der befragten Mitarbeiter hat Zugriff auf Dokumente, die nicht für sie bestimmt sind. Weitere Infos und Tipps zur Optimierung erhalten Sie im gratis E-Book.

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

Themenseiten: Datendiebstahl, Datenschutz, Hacker, Privacy, Uber

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Uber-Hack: Ex-CEO Kalanick ordnete Lösegeldzahlung persönlich an

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *