Beim Mitfahrdienst Uber gab es ein Datenleak, Cyberkriminelle hatten 2016 Zugriff auf Millionen Nutzerdaten. Das Uber-Management hat 100K US $ an Lösegeld, getarnt als Bug Bounty-Prämie, gezahlt.
Anzeige
Caring is sharing – mit dem flotten Spruch treten Firmen wie Uber an, um den Transport von Personen zu übernehmen und Taxi-Unternehmen Marktanteile abzujagen. Das US-Unternehmen ist schon mal durch ruppige Aktionen wie Überwachung seiner Fahrer und Nutzer oder Filterung von Polizisten als Kunden aufgefallen (siehe hier, hier und hier). Wer den Uber-Fahrdienst in Anspruch nimmt, muss über eine App buchen und persönliche Daten hinterlassen. Nicht jedem dürfte Recht sein, wenn diese Daten in fremde Hände gelangen.
(Quelle: Pexels/freestocks.org CC0 Lizenz)
Datenleak in 2016
Genau das scheint aber in 2016 passiert zu sein. Nach einer Presseverlautbarung (hier abrufbar – im Chrome muss wegen eines Autodirects auf die US-Seite umgestellt werden) hatten im Oktober 2016 zwei Individuen unberechtigten Zugriff auf Nutzerdaten, die auf einem Cloud-Server eines Drittanbieters gespeichert waren. Laut Uber waren folgende Datenmengen betroffen:
- 600.000 Fahrerdaten (Name, Führerscheinnummer) in den USA – Details hier.
- 57 Millionen Uber Nutzerdaten (Name, E-Mail-Adresse, Mobilfunknummer) weltweit – Details hier.
Bei Bloomberg findet sich die Info, dass in den 57 Millionen Nutzerdaten wohl auch die persönlichen Informationen von 7 Millionen Fahrern enthalten waren. Uber hat das Ganze ein Jahr lang unter Verschluss gehalten.
Leak über GitHub
Das Uber-Dokument ist recht schwammig – natürlich wurden die Infrastruktur von Uber nicht gehackt und es wurden keine Kreditkartendaten gestohlen. Bei Bloomberg gibt es mehr Informationen, die wohl direkt von Uber gegenüber der Nachrichtenagentur bekannt gegeben wurden.
Demnach hatten zwei Angreifer Zugriff auf eine private GitHub-Codierungsseite, die von Uber-Software-Ingenieuren verwendet wurde. Dort erhielten sie wohl Anmeldeinformationen, um auf Daten zuzugreifen, die auf einem Amazon-Webservice-Konto gespeichert waren. Zweck war es, bestimmte Computeraufträge für das Unternehmen zu erledigen. Auf dem AWS-Server entdeckten die zwei Personen ein Archiv mit Informationen zu Fahrern und Fahrgästen.
Die beiden schickten Uber eine E-Mail, in der sie über den Datenfund berichteten nach Geld fragten. Eigentlich hätte Uber dieses Datenleak sofort den Benutzern und Behörden anzeigen müssen. Aber ein Flickenteppich an Regularien der Bundesstaaten und US-Gesetze führte dazu, dass sich Uber verzettelt habe – so die Botschaft des Unternehmens gegenüber Bloomberg. So sei Uber, laut eigener Aussage, daran gescheitert, die obligatorische Information an die Behörden zum Leak der Führerscheindaten zu melden. Klingt alles sehr nebulös, was Bloomberg da als Botschaft von Uber transportiert.
Einen anderen Blick offenbar die Situation von Uber, als der Hack stattfand. Ubers Mitbegründer und ehemaliger CEO, Kalanick, erfuhr von dem Hack im November 2016. Uber hatte aber gerade einen Rechtsstreit mit dem Generalstaatsanwalt von New York über die Offenlegung der Datensicherheit beigelegt. Zudem war man gerade dabei, mit der Federal Trade Commission über den Umgang mit Verbraucherdaten zu verhandeln. Da kam die nächste Hiobsbotschaft zur Unzeit.
Anzeige
Uber CEO Kalanick zahlte 100.000 US $ Schweigegeld, getarnt als Bug Bounty Prämie, an die beiden Individuen, damit die Daten gelöscht wurden. Anschließend wurde das Datenleak wohl ein Jahr unter Verschluss gehalten. Inzwischen sind Kalanick und der damals zuständige Sicherheitschef, Joe Sullivan, nicht mehr bei Uber.
Sullivan, der scheidende Sicherheitschef, scheint wohl die treibende Kraft für die damals getroffenen Entscheidungen gewesen zu sein, wie ein Uber Sprecher gegenüber Bloomberg erklärte. Sullivan, ein ehemaliger Bundesstaatsanwalt, der im Jahr 2015 von Facebook zu Uber kam, stand im Zentrum eines Großteils der Entscheidungsfindung. Der Hack kam auch nur durch eine andere Untersuchung ans Tageslicht. Letzten Monat berichtete Bloomberg, dass der Uber Aufsichtsrat eine Untersuchung der Aktivitäten von Sullivans Sicherheitsteam in Auftrag gegeben habe. Bei dieser Untersuchung, geleitet durch eine externe Anwalts-Sozietät, wurde der Vorgang laut Uber entdeckt. Das ist nur ein weiterer Vorfall in einer langen Kette an Datenleaks und Hacks von US-Firmen. Da ist ziemlich was faul beim Thema Cyber-Sicherheit.
Nachtrag: Ein paar Ergänzungen finden sich in diesem deutschsprachigen Beitrag.
Interessante Stellungnahme von Bullgard
Nach Veröffentlichung des Beitrags habe ich noch einen Kommentar der Antivirus-Firma Bullgard erhalten, der einige interessante Aspekte anspricht. Hier der unkommentierte Text .
Ein unverzeihlicher Fehltritt in Sachen Informationssicherheit
Paul Lipman, CEO des Cybersecurity-Anbieters BullGuard, kommentiert den Uber-Hack:
Schon allein die unverschlüsselte Speicherung der Kundendaten ist unverzeihlich. Ein absoluter Fehltritt in Sachen Informationssicherheit. Darüber hinaus hat Uber – unabhängig von sämtlichen rechtlichen Verpflichtungen zur Offenlegung – die ethische Pflicht, ihre Kunden und Fahrer über den Vorfall zu informieren und alles dafür zu tun, ihre Identitäten zu schützen.
Der Vorfall bringt die Diskussion rund um die Verantwortung von Unternehmen für die Daten ihrer Kunden wieder auf die Tagesordnung. Die Europäische Kommission hat entsprechende Vorschriften erlassen, dass Internet- und Telekommunikationsanbieter Sicherheitsvorfälle innerhalb von 24 Stunden melden müssen, wenn Kundendaten betroffen sind. Und das ist richtig so. Jede Organisation, die sensible Kundendaten verantwortet, hat die Pflicht, diese auch zu schützen. Leider sehen wir immer wieder, wie Unternehmen dieser Verpflichtung nicht nachkommen.
Außerdem gibt es Verordnungen, die amerikanische Unternehmen betreffen, die in Europa agieren und Daten von EU-Bürgern nutzen. Zum Beispiel müssen sie die Meldung von Datenlecks sicherstellen oder die elterliche Erlaubnis einholen, wenn Kinder unter 16 Jahren einem sozialen Netzwerk beitreten möchten. Außerdem müssen sie jedem EU-Bürger das „Recht auf Vergessen" bezüglich sämtlicher persönlicher Daten einräumen. Größere Unternehmen müssen sogar eine bestimmte Person benennen, die verantwortlich für den Datenschutz ist.
In den meisten Fällen werden diese Anforderungen erfüllt, doch es gibt immer wieder Unternehmen, die versuchen, diese Gesetze zu umgehen. Sie sehen diese Regularien schlicht als Behinderung ihres Geschäftsmodells.
Mit Inkrafttreten der Datenschutzgrundverordnung (DGSVO) im Mai 2018 wird diese Problematik weiter befeuert. Die DGSVO verlangt, dass alle Unternehmen, die Daten von EU-Bürgern verantworten, diese schützen müssen. Kommen sie dieser Pflicht nicht nach, müssen sie mit Strafen von bis zu vier Prozent ihres weltweiten Umsatzes rechnen. Am Beispiel von Facebook wäre das bei einem Umsatz von 24 Mrd. US-Dollar im vergangenen Jahr eine Strafe von etwa 100 Millionen US-Dollar.
GDPR wird hoffentlich zu einem verschärften Datenschutz führen und Fälle wie den Uber-Hack in Europa vermeiden. In den USA gibt es ebenfalls strenge Cybersecurity- und Datenschutz-Gesetze. Aber wir sehen leider, dass diese nicht immer eingehalten werden. Viele Unternehmen sind einfach nicht vorbereitet auf die massiven Cyberangriffe, wie wir sie bisher gesehen haben und in Zukunft verstärkt sehen werden.
2015
