Hackerangriff: Uber verschleierte Datenklau von 57 Millionen Nutzern

Der Fahrdienst Uber ist im Oktober des letzten Jahres Opfer eines Hackerangriffs geworden, bei dem Daten von 57 Millionen Fahrgästen und Fahrern gestohlen wurden. Erst jetzt hat Uber diesen Angriff eingestanden, den das Unternehmen durch Zahlung eines Lösegelds an die Hacker zunächst vor Kunden und Medien verschleiern wollte.

Auf dem Firmenblog von Uber erklärt der derzeitige Uber-CEO Dara Khosrowshahi den zeitlichen Ablauf des Vorfalls. Demnach habe er erst vor Kurzem erfahren, dass Ende 2016 zwei Angreifer in die Systeme von Uber eindringen konnten, die bei einem Drittanbieter ausgelagert waren. Die Systeme der Firma selbst oder die eigene Infrastruktur seien von dem Angriff nicht betroffen gewesen. Betroffene Kunden können sich im Detail hier informieren, Fahrer wiederum auf dieser Seite von Uber.

Führerscheinnummern gestohlen

Die Daten von insgesamt 57 Millionen Uber-Nutzern, darunter Fahrgäste und Fahrer, wurden laut Schilderung von Khosrowshahi von einem Cloud-Server eines Drittanbieters gestohlen, bei dem Uber Daten auslagert. Zu den entwendeten Daten zählen Namen, E-Mail-Adressen und Mobilfunknummern. Berichte von Bloomberg und der New York Times gehen weiter ins Detail. Demnach wurden die Daten von 50 Millionen Fahrgästen und 7 Millionen Fahrern gestohlen. Von den betroffenen Fahrern wiederum wurden außerdem 600.000 Führerscheinnummern erbeutet. Das ist vor allem in den USA relevant, weil der Führerschein dort häufig als Ausweisdokument verwendet wird. Kreditkartennummern, Bankdaten, Sozialversicherungsnummern, Geburtsdaten und Fahrhistorien sollen laut Offenlegung von Uber nicht von dem Hack betroffen sein.

Uber zahlte 100.000 US-Dollar an Hacker

Pikant ist der Hackerangriff vor allem deshalb, weil er bereits vor über einem Jahr im Oktober 2016 passierte und Uber in dieser Zeit mehr an der Verschleierung des Vorfalls als an der Aufklärung und Offenlegung gegenüber Kunden und Partnern interessiert war. Zwei Hacker sollen laut Bloomberg über ein privates GitHub von Uber-Entwicklern an Login-Daten gelangt sein, über die sie anschließend Zugang zu Amazons Web Services (AWS) erhielten, wo Uber gewisse Berechnungen auslagert. Dort wiederum haben die Hacker Archive von Fahrgästen und Fahrern gefunden. Für das Löschen der Kopie der Daten und Stillschweigen sollen die Hacker 100.000 US-Dollar verlangt haben, die Uber daraufhin zahlte, um den Vorfall von der Öffentlichkeit fern zu halten.

Verantwortliches Personal entlassen

Der Deal mit den Hackern soll unter Führung des ehemaligen CEOs Travis Kalanick und dem Chief Security Officer Joe Sullivan sowie einer ihm unterstellten Person abgelaufen sein. Kalanick musste im Juni dieses Jahres nach Druck von Investoren seine Position als CEO aufgeben, weil er nach Verstößen von Uber in mehreren Ländern als rechtliches Risiko galt. Joe Sullivan und die zweite Person aus dem Sicherheitsteam mussten mit der jetzt erfolgten Offenlegung des Vorfalls die Firma verlassen. Den Posten des Sicherheitschefs übernimmt nun Matt Olsen, ein ehemaliger Sicherheitsberater sowie Mitarbeiter der NSA und des National Counterterrorism Centers.