Uber-CEO ordnete Zahlungen an Hacker persönlich an

Ehemalige und aktuelle Mitarbeiter von Uber haben gegenüber der New York Times weitere Details zum gestern bekannt gewordnenen Verlust von Kunden- und Fahrerdaten enthüllt. Offenbar wurde die Zahlung von 100.000 Dollar Lösegeld vom inzwischen entlassenen Chief Security Officer Joe Sullivan arrangiert, und zwar auf Anweisung des damaligen CEO Trevor Kalanick. Darüber hinaus wandelte Uber das Lösegeld nachträglich in ein Schweigegeld um.

Dem Bericht zufolge ermittelte Uber nämlich nach der Geldübergabe die Identität der Hacker, jedoch nicht, um sie Strafverfolgungsbehörden zu übergeben. Stattdessen drängte es die beiden weiterhin öffentlich nicht bekannten Täter, eine Verschwiegenheitserklärung zu unterzeichnen. Darüber hinaus gab das Management die 100.000 Dollar als Ausgaben für ein Bug-Bounty-Programm aus, um den Eindruck zu erwecken, externe Sicherheitsforscher hätten eine Sicherheitslücke entdeckt und vertrauensvoll an Uber gemeldet.

Die Vertuschung könnte nun rechtliche Konsequenzen für Uber haben. Das Unternehmen hatte bereits 2014 einen Datenverlust nicht ordnungsgemäß gemeldet und war dafür von der US-Handelsbehörde Federal Trade Commission gerügt worden. Im Rahmen einer Einigung mit der Behörde verpflichtete sich Uber zu freiwilligen Datenschutz- und Sicherheitskontrollen, und zwar über einen Zeitraum von 20 Jahren. Eine Reaktion der FTC zu dem erneuten Datenverlust steht laut TechCrunch noch aus.

Reagiert habe indes der Generalstaatsanwalt des US-Bundesstaats New York, Eric Schneiderman. Sein Büro habe die Einleitung eines Ermittlungsverfahrens zu dem Vorfall bestätigt. Denn nach dem früheren Datenverlust, der ebenfalls nicht zeitnah von dem Unternehmen kommuniziert wurde, habe Uber zugestimmt, die Sicherheit der Daten seiner Fahrer durch Verschlüsselung und mehrstufige Anmeldeverfahren zu verbessern.

Die New York Times weist darauf hin, dass Uber weitere rechtliche Schritte drohen könnten. Durch die von Uber angeordnete Löschung der gestohlenen Daten habe das Unternehmen möglicherweise gegen Bestimmungen der FTC zur Offenlegung von Datenverlusten verstoßen. Sie sähen vor, dass alle forensischen Beweise – also auch die entwendeten Daten – aufbewahrt werden müssten. Zudem sei Uber nach kalifornischem Recht verpflichtet, den Verlust von unverschlüsselten Daten wie KFZ-Kennzeichen offenzulegen. Welche der Uber gestohlenen Daten verschlüsselt oder nicht verschlüsselt waren, ist jedoch nicht bekannt.

Uber hatte den Hackerangriff am Dienstag öffentlich gemacht. Offenbar war es den Tätern gelungen, das private GitHub-Konto von drei Uber-Mitarbeitern zu knacken. Darüber gelangten sie zu auf Amazon Web Services gehosteten Servern, die die fraglichen Daten enthielten, darunter Namen und E-Mail-Adressen von 57 Millionen Fahrgästen und 7 Millionen Fahrern weltweit. Auch die KFZ-Kennzeichen von 600.000 US-Fahrern fielen ihnen in die Hände. Anschließend erpressten sie besagtes Lösegeld von 100.000 Dollar.