Uber-Hack: Ex-CEO Kalanick ordnete Lösegeldzahlung persönlich an

Ehemalige und aktuelle Mitarbeiter von Uber haben gegenüber der New York Times weitere Details zum gestern gemeldeten Verlust von Kunden- und Fahrerdaten enthüllt. Offenbar wurde die Zahlung von 100.000 Dollar Lösegeld vom inzwischen entlassenen Chief Security Officer Joe Sullivan arrangiert, und zwar auf Anweisung des damaligen CEO Trevor Kalanick. Darüber hinaus wandelte Uber das Lösegeld nachträglich in ein Schweigegeld um.

Dem Bericht zufolge ermittelte Uber nämlich nach der Geldübergabe die Identität der Hacker, jedoch nicht, um sie Strafverfolgungsbehörden zu übergeben. Stattdessen drängte es die beiden weiterhin öffentlich nicht bekannten Täter, eine Verschwiegenheitserklärung zu unterzeichnen. Darüber hinaus gab das Management die 100.000 Dollar als Ausgaben für ein Bug-Bounty-Programm aus, um den Eindruck zu erwecken, externe Sicherheitsforscher hätten eine Sicherheitslücke entdeckt und vertrauensvoll an Uber gemeldet.

Die Vertuschung könnte nun rechtliche Konsequenzen für Uber haben. Das Unternehmen hatte bereits 2014 einen Datenverlust nicht ordnungsgemäß gemeldet und war dafür von der US-Handelsbehörde Federal Trade Commission gerügt worden. Im Rahmen einer Einigung mit der Behörde verpflichtete sich Uber zu freiwilligen Datenschutz- und Sicherheitskontrollen, und zwar über einen Zeitraum von 20 Jahren. Eine Reaktion der FTC zu dem erneuten Datenverlust steht laut TechCrunch noch aus.

Reagiert habe indes der Generalstaatsanwalt des US-Bundesstaats New York, Eric Schneiderman. Sein Büro habe die Einleitung eines Ermittlungsverfahrens zu dem Vorfall bestätigt. Denn nach dem früheren Datenverlust, der ebenfalls nicht zeitnah von dem Unternehmen kommuniziert wurde, habe Uber zugestimmt, die Sicherheit der Daten seiner Fahrer durch Verschlüsselung und mehrstufige Anmeldeverfahren zu verbessern.

Die New York Times weist darauf hin, dass Uber weitere rechtliche Schritte drohen könnten. Durch die von Uber angeordnete Löschung der gestohlenen Daten habe das Unternehmen möglicherweise gegen Bestimmungen der FTC zur Offenlegung von Datenverlusten verstoßen. Sie sähen vor, dass alle forensischen Beweise – also auch die entwendeten Daten – aufbewahrt werden müssten. Zudem sei Uber nach kalifornischem Recht verpflichtet, den Verlust von unverschlüsselten Daten wie KFZ-Kennzeichen offenzulegen. Welche der Uber gestohlenen Daten verschlüsselt oder nicht verschlüsselt waren, ist jedoch nicht bekannt.

Uber hatte den Hackerangriff am Dienstag öffentlich gemacht. Offenbar war es den Tätern gelungen, das private GitHub-Konto von drei Uber-Mitarbeitern zu knacken. Darüber gelangten sie zu auf Amazon Web Services gehosteten Servern, die die fraglichen Daten enthielten, darunter Namen und E-Mail-Adressen von 57 Millionen Fahrgästen und 7 Millionen Fahrern weltweit. Auch die KFZ-Kennzeichen von 600.000 US-Fahrern fielen ihnen in die Hände. Anschließend erpressten sie besagtes Lösegeld von 100.000 Dollar.

Der Sicherheitsanbieter CyberArk geht davon aus, dass bei dem Datenverlust nicht verwaltete oder ungeschützte privilegierte Zugangsdaten eine Rolle spielten. 99 Prozent der Teilnehmer einer Umfrage seien nicht in der Lage gewesen, alle Orte zu identifizieren, an denen privilegierte Accounts und Zugangsdaten hinterlegt seien. „Dieser Mangel an Sichtbarkeit und Kontrolle schafft enorme Möglichkeiten für Angreifer“, teilte Udi Mokady, CEO von CyberArk, mit.

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.