Uber-Hack: Ex-CEO Kalanick ordnete Lösegeldzahlung persönlich an

Ehemalige und aktuelle Mitarbeiter von Uber haben gegenüber der New York Times weitere Details zum gestern gemeldeten Verlust von Kunden- und Fahrerdaten enthüllt. Offenbar wurde die Zahlung von 100.000 Dollar Lösegeld vom inzwischen entlassenen Chief Security Officer Joe Sullivan arrangiert, und zwar auf Anweisung des damaligen CEO Trevor Kalanick. Darüber hinaus wandelte Uber das Lösegeld nachträglich in ein Schweigegeld um.

Dem Bericht zufolge ermittelte Uber nämlich nach der Geldübergabe die Identität der Hacker, jedoch nicht, um sie Strafverfolgungsbehörden zu übergeben. Stattdessen drängte es die beiden weiterhin öffentlich nicht bekannten Täter, eine Verschwiegenheitserklärung zu unterzeichnen. Darüber hinaus gab das Management die 100.000 Dollar als Ausgaben für ein Bug-Bounty-Programm aus, um den Eindruck zu erwecken, externe Sicherheitsforscher hätten eine Sicherheitslücke entdeckt und vertrauensvoll an Uber gemeldet.

Die Vertuschung könnte nun rechtliche Konsequenzen für Uber haben. Das Unternehmen hatte bereits 2014 einen Datenverlust nicht ordnungsgemäß gemeldet und war dafür von der US-Handelsbehörde Federal Trade Commission gerügt worden. Im Rahmen einer Einigung mit der Behörde verpflichtete sich Uber zu freiwilligen Datenschutz- und Sicherheitskontrollen, und zwar über einen Zeitraum von 20 Jahren. Eine Reaktion der FTC zu dem erneuten Datenverlust steht laut TechCrunch noch aus.

Reagiert habe indes der Generalstaatsanwalt des US-Bundesstaats New York, Eric Schneiderman. Sein Büro habe die Einleitung eines Ermittlungsverfahrens zu dem Vorfall bestätigt. Denn nach dem früheren Datenverlust, der ebenfalls nicht zeitnah von dem Unternehmen kommuniziert wurde, habe Uber zugestimmt, die Sicherheit der Daten seiner Fahrer durch Verschlüsselung und mehrstufige Anmeldeverfahren zu verbessern.

Die New York Times weist darauf hin, dass Uber weitere rechtliche Schritte drohen könnten. Durch die von Uber angeordnete Löschung der gestohlenen Daten habe das Unternehmen möglicherweise gegen Bestimmungen der FTC zur Offenlegung von Datenverlusten verstoßen. Sie sähen vor, dass alle forensischen Beweise – also auch die entwendeten Daten – aufbewahrt werden müssten. Zudem sei Uber nach kalifornischem Recht verpflichtet, den Verlust von unverschlüsselten Daten wie KFZ-Kennzeichen offenzulegen. Welche der Uber gestohlenen Daten verschlüsselt oder nicht verschlüsselt waren, ist jedoch nicht bekannt.

Uber hatte den Hackerangriff am Dienstag öffentlich gemacht. Offenbar war es den Tätern gelungen, das private GitHub-Konto von drei Uber-Mitarbeitern zu knacken. Darüber gelangten sie zu auf Amazon Web Services gehosteten Servern, die die fraglichen Daten enthielten, darunter Namen und E-Mail-Adressen von 57 Millionen Fahrgästen und 7 Millionen Fahrern weltweit. Auch die KFZ-Kennzeichen von 600.000 US-Fahrern fielen ihnen in die Hände. Anschließend erpressten sie besagtes Lösegeld von 100.000 Dollar.

Der Sicherheitsanbieter CyberArk geht davon aus, dass bei dem Datenverlust nicht verwaltete oder ungeschützte privilegierte Zugangsdaten eine Rolle spielten. 99 Prozent der Teilnehmer einer Umfrage seien nicht in der Lage gewesen, alle Orte zu identifizieren, an denen privilegierte Accounts und Zugangsdaten hinterlegt seien. „Dieser Mangel an Sichtbarkeit und Kontrolle schafft enorme Möglichkeiten für Angreifer“, teilte Udi Mokady, CEO von CyberArk, mit.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

So optimiert Preisüberwachung Ihre Gewinnmargen im Online-Handel

Die Transparenz der Preise ist im Online-Handel zu einer unangenehmen Herausforderung geworden. Mit nur wenigen…

3 Stunden ago

T-Systems launcht AI Foundation Services

Services stellen private und sichere Entwicklungs-, Test- und Produktionsumgebung bereit, die strengste Anforderungen an Datensicherheit…

4 Stunden ago

Februar-Patchday: Microsoft schließt Zero-Day-Lücken in Windows

Mindestens zwei Anfälligkeiten werden bereits aktiv angegriffen. Betroffen sind alle unterstützten Versionen von Windows und…

6 Stunden ago

Apple schließt Zero-Day-Lücke in iOS und iPadOS

Betroffen sind alle unterstützten iPhones und iPads sowie ältere Modelle. Apple bezeichnet die Angriffe als…

21 Stunden ago

Umfrage: Datensicherheit mit Geschäftszielen nur schwer vereinbar

Nur 14 Prozent der SRM-Führungskräfte erreichen einen wirkungsvollen Schutz und ermöglichen dabei eine Datennutzung zur…

23 Stunden ago

Facebook-Phishing-Kampagne zielt auf Unternehmen ab

Die Phishing-Nachrichten verteilen die Cyberkriminellen über eine Marketing-Tool von Salesforce. Unternehmen werden darin Urheberrechtsverletzungen auf…

1 Tag ago