Uber nutzt IT-Tool um Rechner bei Razzien zu sperren (Bild: Uber)
Ehemalige und aktuelle Mitarbeiter von Uber haben gegenüber der New York Times weitere Details zum gestern gemeldeten Verlust von Kunden- und Fahrerdaten enthüllt. Offenbar wurde die Zahlung von 100.000 Dollar Lösegeld vom inzwischen entlassenen Chief Security Officer Joe Sullivan arrangiert, und zwar auf Anweisung des damaligen CEO Trevor Kalanick. Darüber hinaus wandelte Uber das Lösegeld nachträglich in ein Schweigegeld um.
Die Vertuschung könnte nun rechtliche Konsequenzen für Uber haben. Das Unternehmen hatte bereits 2014 einen Datenverlust nicht ordnungsgemäß gemeldet und war dafür von der US-Handelsbehörde Federal Trade Commission gerügt worden. Im Rahmen einer Einigung mit der Behörde verpflichtete sich Uber zu freiwilligen Datenschutz- und Sicherheitskontrollen, und zwar über einen Zeitraum von 20 Jahren. Eine Reaktion der FTC zu dem erneuten Datenverlust steht laut TechCrunch noch aus.
Reagiert habe indes der Generalstaatsanwalt des US-Bundesstaats New York, Eric Schneiderman. Sein Büro habe die Einleitung eines Ermittlungsverfahrens zu dem Vorfall bestätigt. Denn nach dem früheren Datenverlust, der ebenfalls nicht zeitnah von dem Unternehmen kommuniziert wurde, habe Uber zugestimmt, die Sicherheit der Daten seiner Fahrer durch Verschlüsselung und mehrstufige Anmeldeverfahren zu verbessern.
Die New York Times weist darauf hin, dass Uber weitere rechtliche Schritte drohen könnten. Durch die von Uber angeordnete Löschung der gestohlenen Daten habe das Unternehmen möglicherweise gegen Bestimmungen der FTC zur Offenlegung von Datenverlusten verstoßen. Sie sähen vor, dass alle forensischen Beweise – also auch die entwendeten Daten – aufbewahrt werden müssten. Zudem sei Uber nach kalifornischem Recht verpflichtet, den Verlust von unverschlüsselten Daten wie KFZ-Kennzeichen offenzulegen. Welche der Uber gestohlenen Daten verschlüsselt oder nicht verschlüsselt waren, ist jedoch nicht bekannt.
Uber hatte den Hackerangriff am Dienstag öffentlich gemacht. Offenbar war es den Tätern gelungen, das private GitHub-Konto von drei Uber-Mitarbeitern zu knacken. Darüber gelangten sie zu auf Amazon Web Services gehosteten Servern, die die fraglichen Daten enthielten, darunter Namen und E-Mail-Adressen von 57 Millionen Fahrgästen und 7 Millionen Fahrern weltweit. Auch die KFZ-Kennzeichen von 600.000 US-Fahrern fielen ihnen in die Hände. Anschließend erpressten sie besagtes Lösegeld von 100.000 Dollar.
Der Sicherheitsanbieter CyberArk geht davon aus, dass bei dem Datenverlust nicht verwaltete oder ungeschützte privilegierte Zugangsdaten eine Rolle spielten. 99 Prozent der Teilnehmer einer Umfrage seien nicht in der Lage gewesen, alle Orte zu identifizieren, an denen privilegierte Accounts und Zugangsdaten hinterlegt seien. „Dieser Mangel an Sichtbarkeit und Kontrolle schafft enorme Möglichkeiten für Angreifer“, teilte Udi Mokady, CEO von CyberArk, mit.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.
Die Transparenz der Preise ist im Online-Handel zu einer unangenehmen Herausforderung geworden. Mit nur wenigen…
Services stellen private und sichere Entwicklungs-, Test- und Produktionsumgebung bereit, die strengste Anforderungen an Datensicherheit…
Mindestens zwei Anfälligkeiten werden bereits aktiv angegriffen. Betroffen sind alle unterstützten Versionen von Windows und…
Betroffen sind alle unterstützten iPhones und iPads sowie ältere Modelle. Apple bezeichnet die Angriffe als…
Nur 14 Prozent der SRM-Führungskräfte erreichen einen wirkungsvollen Schutz und ermöglichen dabei eine Datennutzung zur…
Die Phishing-Nachrichten verteilen die Cyberkriminellen über eine Marketing-Tool von Salesforce. Unternehmen werden darin Urheberrechtsverletzungen auf…