Wie inzwischen bekannt wurde, steckte ein 20-jähriger Mann aus Florida hinter dem bereits vor einem Jahr begangenem Einbruch in Ubers offenbar unzureichend geschützten Datenbanken. Uber zahlte dem Mann 100.000 Dollar Schweigegeld über ein „Bug-Bounty-Programm“. Den Verantwortlichen bei Uber war die eigene Reputation und der Wert ihrer Anteile offenbar wichtiger, als die Sicherheit der 57 Millionen betroffenen Kunden und Fahrern – und die Einhaltung der Gesetze.
Ein „bug bounty“ (zu deutsch etwa ‚Schädlingsbelohnung‘) soll Hacker dafür belohnen, dass sie Sicherheitslücken in Systemen finden, damit diese geschlossen werden können. Die bei der beauftragten Plattform „HackerOne“ normalerweise gezahlten Prämien belaufen sich dabei auf Beträge zwischen 5.000 und 10.000 Dollar, die legal vermittelt werden. Die Höhe der von Uber gezahlten Summe sprengt jeglichen Rahmen für die Prämien von Computerspezialisten. Es ist außerdem auch bei HackerOne regelwidrig, kriminelle Hacker zu bezahlen, wenn diese tatsächlich Daten gestohlen oder anderen Schaden bereits angerichtet haben.
Uber bediente sich der Plattform von HackerOne, weil sie bei jeder Transaktion die Identität eines Computerspezialisten durch seine Steuernummer erfährt. So wollte man den Eindringling, der Uber zunächst mit einer E-Mail erpresste, ausfindig machen – sagten Reuters anonyme Quellen. Auch dieser Vorgang selbst könnte illegal gewesen sein. Man habe mit dem Hacker einen Geheimhaltungsvertrag geschlossen, um ein späteren Missbrauch auszuschließen. Uber habe außerdem eine forensische Analyse seines Computers durchgeführt, um sicherzugehen, dass alle Daten vernichtet wurden. Der Hacker hat von dem Geld auch eine zweite Person bezahlt, die ihm geholfen hatte, in die bei GitHub und bei anderen Anbietern gespeicherten Datenbanken einzudringen.
Keine Sicherheit durch Löschung
Adam Levin, Experte für IT-Sicherheit, kritisierte gegenüber Reuters Ubers Vorgehen, sowohl das Verschweigen wie das Zahlen eines Schweigegeldes, scharf. Die Daten könnten auch im Nachhinein von Dritten genutzt werden – oder worden sein-, um weiteres „Phishing“ zu betreiben, also z. B. Computer der betroffenen Kunden und Fahrern mit Schadsoftware zu infizieren So könnten weitere Daten ausgelesen werden, um daraus einen finanziellen Nutzen zu ziehen. Uber habe damit gezeigt, dass es eigene wirtschaftliche Interessen über den möglichen Schaden für 57 Millionen ihrer Kunden und Fahrer gestellt hat. Zum kurzfristigen Schutz der Firmenreputation, der Wert der eigenen Unternehmensanteile hätten sie großen Schaden bei ihren Kunden und Fahrern in Kauf genommen. Betroffene Kunden und Fahrer aus Deutschland können keine Hilfe von den Datenschutzbehörden erwarten.
Laut Reuters ist das Verschweigen von Einbrüchen in Datenbanken kein Einzelfall. Firmen würden sich gelegentlich entscheiden, ein Hacking nicht den Behörden zu melden und öffentlich zu machen, sondern mit den Erpressern zu verhandeln. Ihr Grund dafür sei die Annahme, dass es „einfacher und effektiver“ ist. Reuters anonymen Quellen zu Folge sei von dem 20-jährigen keine weitere Gefahr zu erwarten gewesen. Er lebe in dem kleinen Haus bei seiner Mutter und versuche, „beim Bezahlen der Rechnungen zu helfen“. Auch wenn Uber angenommen hat, das Problem damit im Griff zu haben, bleibt das Verschweigen des Einbruchs ein Verstoß gegen amerikanische Gesetze, sagte IT-Expertin Katie Moussouris.
Es ist bislang unklar, wer das Vorgehen angeordnet und geplant hat, aber Travis Kalanick soll darüber informiert gewesen sein. Ubers Sprecher Matt Kallmann nahm dazu keine Stellung. Kalanicks Nachfolger Dara Khosrowshahi ordnete nach eigener Aussage zunächst interne Untersuchungen an und feuerte den Sicherheitschef Joe Sullivan sowie seinen Vertreter Craig Clark, allerdings zögerte Uber auch nach Khosrowshahis Dienstantritt mit der Bekanntgabe des Datendiebstahls.
GitHub, der betroffene Anbieter von Online-Speicher sagte, der Angriff sei nicht auf ein Versagen ihrer Sicherheitssysteme zurückzuführen. „Unsere Empfehlung ist, niemals Zugriffsinformationen, Passwörter oder andere Schlüssel [online] zu speichern.“ Die Gefahr müsste Uber im Übrigen bekannt gewesen sein, denn es waren ironischerweise genau die selbe Sicherheitslücke, die Uber -unter Kalanick, Sullivan und Craig- zum ausspionieren seiner Konkurrenten ausnutzte. Diese hatten ihre Daten ebenfalls auf GitHubs Servern abgelegt. prh
Symbolfoto: Anonim Adam, cc by-sa 3-0
Hinweis in eigener Sache: Diese Meldung können Sie auch in unserer Taxi-Times-App nachlesen. Jetzt kostenlos runterladen.
