Uber gibt zu, die massive Datenschutzverletzung im Jahr 2016 in einem Vergleich mit US-Staatsanwälten vertuscht zu haben

Uber gibt zu, die massive Datenschutzverletzung im Jahr 2016 in einem Vergleich mit US-Staatsanwälten vertuscht zu haben

Uber gab zu, im Rahmen einer Einigung mit dem US-Justizministerium zur Vermeidung einer strafrechtlichen Verfolgung einen massiven Cybersicherheitsangriff im Oktober 2016 vertuscht zu haben, bei dem die vertraulichen Daten von 57 Millionen Kunden und Fahrern preisgegeben wurden.

Um nicht wegen der Vertuschung strafrechtlich verfolgt zu werden, „gibt Uber zu, dass seine Mitarbeiter es versäumt haben, die Datenpanne vom November 2016 dem zu melden [Federal Trade Commission] trotz einer anhängigen FTC-Untersuchung zur Datensicherheit des Unternehmens“, laut einer Pressemitteilung des DOJ.

Hacker nutzten gestohlene Zugangsdaten, um auf ein privates Quellcode-Repository zuzugreifen und einen proprietären Zugangsschlüssel zu erhalten, mit dem sie dann auf große Datenmengen im Zusammenhang mit Uber-Benutzern und -Fahrern zugreifen und diese kopieren konnten, darunter Daten zu etwa 57 Millionen Benutzerdatensätzen mit 600.000 Führerscheinen Zahlen.

Die Datenschutzverletzung wurde erst ein Jahr später aufgedeckt als das Unternehmen es öffentlich bekannt gab, wie berichtet von Bloomberg. Das Unternehmen zahlte seinen Hackern angeblich ein Lösegeld in Höhe von 100.000 US-Dollar, um die Daten zu löschen und den Verstoß nicht gegenüber Medien oder Aufsichtsbehörden zu veröffentlichen. Damals gab der neu ernannte Uber-CEO Dara Khosrowshahi, der die Nachfolge des ehemaligen CEO Travis Kalanick angetreten hatte, nachdem dieser von seiner Position verdrängt worden war, zu, dass die Vertuschung nicht hätte stattfinden dürfen.

Dem Vergleich zufolge meldeten Khosrowshahi und sein Team den Verstoß der Öffentlichkeit, Fahrern und Regierungsbehörden, nachdem sie ihn ein Jahr später entdeckt hatten. Die Entscheidung, das Unternehmen nicht strafrechtlich zu verfolgen, basierte zum Teil auf der Entscheidung von Uber, den Verstoß offenzulegen, sowie auf einer Vereinbarung mit der FTC im Jahr 2018, künftige Cyberangriffe den staatlichen Aufsichtsbehörden zu melden. Der Vergleich erkennt auch an, dass Uber 148 Millionen US-Dollar für die Beilegung von Zivilprozessen im Zusammenhang mit der Datenschutzverletzung gezahlt hat.

Im Vergleich zur Unternehmensführung unter Kalanick, die einen Monat nach dem Vorfall von dem Verstoß erfuhr, war dies eine deutliche Trendwende. Joe Sullivan, der damalige Chief Security Officer von Uber, war ebenfalls an der Vertuschung beteiligt, was zu seiner Entlassung durch Khosrowshahi im Jahr 2017 führte. Sullivan war es später der Justizbehinderung angeklagt für den Versuch, eine Datenschutzverletzung vor dem FTC- und Uber-Management zu verbergen. Sein Fall ist geplant September 2022 vor Gericht gehen.

Der Hack umfasste Namen, E-Mail-Adressen und Telefonnummern von mehr als 50 Millionen Uber-Fahrern weltweit, während mehr als 7 Millionen Uber-Fahrern ähnliche Daten zusätzlich zu den Führerscheinnummern von rund 600.000 US-Fahrern offengelegt wurden.

Quellenlink