> > > > Uber hielt massives Datenleck über ein Jahr geheim

Uber hielt massives Datenleck über ein Jahr geheim

Veröffentlicht am: von

uber logoUber ist in der Vergangenheit schon mehrmals in die Negativschlagzeilen geraten. So wird der Vermittler von Fahrdienstleistungen immer wieder von der Taxi-Branche angegriffen und darf etwa seinen Service Uber Pop in großen Teilen Europas nicht anbieten. Auch der Umgang mit den eigenen Fahrern sowie der Konkurrenz wurde immer wieder bemängelt. Nun sieht sich Uber mit dem nächsten PR-Problem konfrontiert: Das Unternehmen hielt einen massiven Hacker-Angriff, bei dem die Daten von etwa 57 Millionen Kunden und Fahrern gestohlen wurden, mehr als ein Jahr lang geheim.

Man zahlte unter anderem 100.000 US-Dollar an die Hacker, um den Vorfall zu verbergen. Verantwortlich macht Uber unternehmensintern den Leiter der Sicherheit, der in Folge dessen zusammen mit seinen engsten Mitarbeitern entlassen wurde.

Es wurden dabei im Oktober 2016 die Daten von etwa 50 Millionen Uber-Kunden rund um den Globus gestohlen. Zu den entwendeten Daten zählten Namen, Email-Adressen und Telefonnummern der jeweiligen Personen. Zudem wurde auf die Informationen von über 7 Millionen Fahrern zugegriffen. Laut Uber wurden allerdings keine Sozialversicherungsnummern, Kreditkarteninformationen oder Angaben zu den Fahrten gestohlen.

Der neue Uber-CEO, Dara Khosrowshahi, welcher im September 2017 übernommen hat, entschuldigt sich für die Vorfälle. Laut ihm ändere Uber seine Geschäftsstrategien unter seiner Leitung grundlegend und derartige Geschehnisse hätte es nie geben dürfen. Trotzdem laufen in den USA bereits Versuche, Sammelklagen gegen Uber anzustreben.

Der Angriff auf Uber, bzw. die Menge der gestohlenen Daten, mag im Vergleich zu anderen Attacken und Datendiebstählen, etwa bei Yahoo, sogar noch moderat wirken. Allerdings ist bedenklich, dass das Unternehmen die Vorfälle unter der Leitung des ehemaligen CEOs Travis Kalanick so lange geheim hielt. Kalanick soll bereits im November 2016 von dem Hack erfahren haben. Uber hätte den Angriff laut US-Gesetzen mitteilen müssen. Man arbeitet aber nun mit den Behörden zusammen, wie das Management mitteilt. Uber hatte die Details zu den Angriffen selbst an die Öffentlichkeit gebracht.

Das einzig Positive an der Angelegenheit scheint zu sein, dass wohl außer Uber selbst niemand zu Schaden gekommen ist: Laut Unternehmen habe man keine Hinweise darauf, dass die Daten missbraucht worden seien. Zudem habe man mittlerweile alle Mittel ergriffen, damit ähnliche Diebstähle nicht mehr möglich seien.

Social Links

Kommentare (15)

#6
Registriert seit: 15.09.2009

Oberleutnant zur See
Beiträge: 1343
Zitat Sheena;25968420
Ich hoffe du meinst die Frage nicht ernst?


Doch. Gestohlen erscheint mir hier (wie immer, wenn es um Daten geht) falsch.
#7
customavatars/avatar215183_1.gif
Registriert seit: 01.01.2015
€uropäische Union - Bairischer Sprachraum
Fregattenkapitän
Beiträge: 2662
Das es geheim gehalten wurde und Geld bezahlt wurde sagt leider sehr viel aus, Firmen wollen scheinbar nicht zugeben dass ihnen so etwas passiert ist, es wird erst bekannt gegeben wenn es nicht anders geht, wer ist der wahre leidtragende, natürlich der Kunde, denen ist vollkommen egal ob dem Kunden was negatives passiert, Hauptsache der Firma wird nihcts schlechtes nachgesagt, es sollte ein gesetzt geben wo man verpflichtet wird so etwas kundzutun!
#8
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11841
Zitat Novastar;25968039
Und mangels Strafe wird sich absolut gar nichts ändern. :)

Hoffe du meinst die Hacker strafen. Nicht Uber.
#9
customavatars/avatar179024_1.gif
Registriert seit: 29.08.2012

Flottillenadmiral
Beiträge: 5406
Zitat DragonTear;25969596
Hoffe du meinst die Hacker strafen. Nicht Uber.


:lol:, Uber hat doch mangelhafte Sicherheitsvorkehrungen gehabt... sonst hätte man ja nichts entwenden können. Selbstverständlich sollte man das massiv bestrafen.

Was die Praktiken betrifft... Ich habe letztens eine Mail von einem Unternehmen bekommen, dem genau das gleiche passiert ist. Sie haben nicht bezahlt, sind zur Polizei gegangen und haben eine Mail an alle Kunden geschickt.
Natürlich finde ich es nicht gut, wenn jemand solche Fehler macht, aber bei diesem Unternehmen würde ich weiterhin einkaufen.

Uber dagegen, hat sich bei mir auf ewig disqualifiziert. Nur das kann die logische Konsequenz sein, wenn jemand die Sicherheit seiner Kunden aufs Spiel setzt, und damit so hoch pokert. Der soll dann wirklich in den Abgrund stürzen, wenn er sich verzockt hat.
#10
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11841
Zitat oooverclocker;25969692
:lol:, Uber hat doch mangelhafte Sicherheitsvorkehrungen gehabt... sonst hätte man ja nichts entwenden können. Selbstverständlich sollte man das massiv bestrafen.

Blödsinn hoch drei. Nee, hoch zwanzig.
Schon mal was von "kein System ist sicher" gehört?
Ich habe zur Zeit gleich zwei Kurse im Bereich IT-Security und kann dir versichern dass das stimmt.
Uber hat ganz gewiss schon unmengen an Geld an Daten-Security Leuten gezahlt (mein Prof. mit eigenem Untenrehmen lebt nicht grade schlecht. Würde ich mich nicht schon für einen anderen IT Bereich spezialisieren, würde ich es mir glatt überlegen...).

Ich finde es ehrlich gesagt abartig dass man in solchen Fällen Unternehmen Vorfürfe macht oder gleich über sie schimpft - aber nicht über den Abschaum der solche Verbrechen begeht.
Wenn jemand in eine Wohnung einbricht, bist du auch sicher sauer auf den Besitzer und nicht auf den Einbrecher, was?

Ob Uber besser zur Polizei hätte gehen sollen? Wenn es in diesem großen Stil passiert, ist die Frage echt nicht leicht zu beantworten...

Auf jeden Fall nützt einem die Benachrichtigungsmail als Endkunde sogut wie garnichts.
Oder würdest du dann dank dieser Information, deinen "Namen, Email-Adresse und Telefonnummer" ändern? :D
Sinn würde das maximal bei den Kreditkartendaten der Fahrer machen und selbst da würde wohl kaum jemand etwas tun, denn in den allermeisten Fällen ist man durch die Bank abgesichert (darum haben die Hacker ja auch die Erpressung gemacht, und haben die Daten nicht direkt genutzt)...
#11
customavatars/avatar215183_1.gif
Registriert seit: 01.01.2015
€uropäische Union - Bairischer Sprachraum
Fregattenkapitän
Beiträge: 2662
Zitat
Wenn jemand in eine Wohnung einbricht, bist du auch sicher sauer auf den Besitzer und nicht auf den Einbrecher, was?

Völlig verquerer Vergleich, besitzt der Inhaber der Wohnung Millionen Daten anderer, genau.
Zitat
Ob Uber besser zur Polizei hätte gehen sollen? Wenn es in diesem großen Stil passiert, ist die Frage echt nicht leicht zu beantworten...

Wenn nur eigene Daten gestohlen wurde können sie sich von mir aus überlegen was sie machen sollen, aber nicht wenn Daten andere dabei im Spiel sind.
Zitat
Auf jeden Fall nützt einem die Benachrichtigungsmail als Endkunde sogut wie garnichts.

Genau denen ist es sicher allen egal wenn Kriminelle ihre Daten haben, is doch logisch, dann schreibe uns doch hier all deine Daten auf, dein Name, deine Mail Adresse, deine Anschrift, deine Handynummer, wir warten! Natürlich machst du das jetzt nicht, wäre auch selten blöd dies zu tun, Identitätsdiebe die damit illegales machen können oder Werbefirmen interessieren sich dafür aber sehr wohl, und was weiß ich noch für welche Geschäftszweige das nützlich wäre.
#12
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11841
Ist doch immer wieder dieses selbe Argument :rolleyes:
Die "persönlichen Daten" (was ist daran überhaupt persönlich? Name, Mail und Telefonnummern sind erstmal dazu da, geteilt zu werden, sonst erfüllen sie so gut wie keinen Zweck) - sind heute nicht mehr annähernd so viel wert wie manche denken.
So gut wie jede Werbefirma kriegt die in Massen.
Identitätsdiebe brauchen viel detailiertere Daten, als was man normalerweise für diverse Services wie Uber angibt. Die impersonieren auch keine 50 Millionen Menschen...

Btw. der Grund wieso ich hier nicht meine Daten angebe, ist weil hier auch Trolle sind, die auf mein FB gehen würden oder ähnliches.
Sicher nicht aus Angst vor Werbefirmen oder ilegale Aktivitäten.
#13
customavatars/avatar179024_1.gif
Registriert seit: 29.08.2012

Flottillenadmiral
Beiträge: 5406
Zitat DragonTear;25969832
Schon mal was von "kein System ist sicher" gehört?

Es gibt durchaus Möglichkeiten, das Risiko dramatisch zu minimieren. Dann darf man halt leider keine x64-Systeme einsetzen, sondern muss ARM-Chips nutzen, wo Libreboot drauf läuft und dementsprechende Sicherheitsstandards einrichten: Jeder Admin darf nur mit Libreboot-Notebook in die Firma und muss sich durch Passwort, Zertifikat und einer weiteren Methode authentifizieren - z.B. Chipkarte, bevor er auf Daten zugreifen kann usw. Ein weiterer Punkt ist natürlich die Software-Qualitätssicherung. Das gehört bei sensibler Software von 5 Leuten angeschaut, bevor es gemerged wird, die dafür unterschreiben, dass sie haften, wenn es kein Compiler-Bug ist, sondern sie etwas übersehen haben. Ausgenommen Standardalgorithmen, die irgendwann unsicher werden, aus mangelnder Komplexität etc.

Aber ja, diese fahrlässigen wahnsinnigen administrieren teilweise Server mit Windows, oder sichern sich nicht gegen proprietäre Firmware ab, folglich brauchen sie sich nicht wundern, wenn jemand ein geleaktes NSA-Backdoor nutzt, um einzubrechen.
Vielleicht gibt es nie 100%-ige Sicherheit, aber ich bin mir sicher, dass fast alle Fälle, wo so etwas passiert ist, sich durch angemessene Sicherheitsvorkehrungen hätten verhindern lassen.


Zitat DragonTear;25969832
Ich habe zur Zeit gleich zwei Kurse im Bereich IT-Security und kann dir versichern dass das stimmt.

Schön, ich hatte vor Jahren IT-Security-Kurse und kann Dir versichern, dass die Sicherheitsvorkehrungen in Unternehmen teilweise katastrophal sind - erinnern an Stereotypen aus amerikanischen Filmen über russische Technik.

Zitat DragonTear;25969832
Uber hat ganz gewiss schon unmengen an Geld an Daten-Security Leuten gezahlt

Soweit ich das kenne, verwenden diese Unternehmen aber wiederum Arbeitskräfte, die für Securitythemen völlig ungeeignet sind, weil Deutschland so meilenweit davon entfernt ist, überhaupt genug Leute mit einer Intelligenz zu haben, die dazu ausreicht, dass es gar nicht möglich ist, angemessen qualifizierte Arbeitskräfte zu finden.
Du kannst ja nicht irgendeinen Trottel dafür einsetzen, der in einer Klitsche gelernt hat, wie er sich mit C# ein Programm zusammenklickt. Der muss auswendig wissen, wie ein TLS-Handshake abläuft, wie man per Telnet Emails auf (fremden) Webservern erzeugt, wie man ARP Spoofing verhindert und aufdeckt etc... Und das sind nur die kleinen Dinge, die der kleinste Mitarbeiter kennen muss.
Wenn das so ein Macbook-Heini mit Boot-Camp-Windows ist, kannst Du das mit der "Security" ja komplett wieder knicken - das wird nichts.

Zitat DragonTear;25969832
Wenn jemand in eine Wohnung einbricht, bist du auch sicher sauer auf den Besitzer und nicht auf den Einbrecher, was?

Erstens habe ich nicht Daten anderer in meiner Obhut. Wenn die abhanden kommen, bzw. geleaked werden, bin ich natürlich dafür verantwortlich! Du bist doch auch dafür verantwortlich, wenn Du vertrauliche Unternehmensdaten leakst - und übrigens ist auch das, was Uber gemacht hat, in Deutschland nicht legal. Es hätte unverzüglich die Kunden informieren müssen und es gibt dafür auch Geldstrafen, die jedoch viel zu niedrig sind.

Edit: Wenn bei mir eingebrochen wird, bin ich übrigens natürlich auch mitverantwortlich. Natürlich kommt mit genug Aufwand immer einer rein... Aber mir wurde beispielsweise der Fahrradreifen geklaut und natürlich war ich da selbst auch schuld. Mittlerweile habe ich die drei wahrscheinlich sichersten Schlösser, die es am Markt gibt, sodass es sich gar nicht mehr lohnt, mein Fahrrad zu klauen, weil man zu viele Trennscheiben der Flex verbrauchen würde, zu lange am Zahlenschloss tüfteln, bzw. am normalen Schloss Lockpicking machen müsste, jede Schraube ausbohren müsste, dass es viel zu viel Zeit kostet, was den Wert des ganzen Fahrrads übersteigt.
Ich habe wahrscheinlich über 50% des Fahrradwertes für die Absicherung ausgegeben - bei einem Gebäude geht das in der Regel mit viel weniger Anteil der Kosten am Gesamtwert. Ich könnte wetten, dass bereits eine einfache Kameraüberwachung sofort die meisten abschreckt.

Zitat DragonTear;25969832
Ob Uber besser zur Polizei hätte gehen sollen? Wenn es in diesem großen Stil passiert, ist die Frage echt nicht leicht zu beantworten...

Die Frage stellt sich in Deutschland nicht, weil es vorgeschrieben ist, die Öffentlichkeit unverzüglich zu informieren. Und natürlich muss da auch die Anzeige bei der Polizei erfolgen.

Zitat DragonTear;25969832
Auf jeden Fall nützt einem die Benachrichtigungsmail als Endkunde sogut wie garnichts.

Also ich finde es schon praktisch, wenn ich meine Kreditkarte sperren oder mein geleaktes Passwort ändern kann, [U]bevor[/U] mir etwas passiert!

Zitat DragonTear;25969832
denn in den allermeisten Fällen ist man durch die Bank abgesichert (darum haben die Hacker ja auch die Erpressung gemacht, und haben die Daten nicht direkt genutzt)...

Das Geld, was gedruckt werden muss, um Bankdiebstähle etc. zu kompensieren, führt zu Inflation und das heißt, wir als Allgemeinheit tragen die Kosten. Ich finde es ein Stück weit unverschämt, einfach zu sagen, man sei ja "abgesichert" - es wird einfach nur von einer Institution bezahlt, die die Kosten auf viele Menschen umlegt, die völlig unschuldig sind.
#14
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11841
@oooverclocker
Du gehst da von einer ganzen Menge Annahmen aus, ohne wirklich was über Uber's interna zu wissen...

Davon abgesehen reden wir doch überhaupt nicht von Deutschland. Hier muss man sich ja laut Gesetzgebung von "Taxifahrern" ausnehmen lassen...


Btw. ich meinte garnicht dass die Kreditkartenunternehmen einfach das Geld erstatten, sodnern dass sie inzwischen Schutzmaßnahmen getroffen haben, denn Sache ist, es ist ein sehr unsicheres Verfahren, da ja jeder bei dem man mit der Karte bezahlt, ja alle benötigten Informationen hat.
Als ich mit meiner Barclaycard im Ausland was bestellt habe, ging das beim allerersten mal nicht, da als verdächtige Aktivität angestuft. Kurzer Anruf hat das dann natürlich geklärt.
#15
Registriert seit: 03.05.2013

Bootsmann
Beiträge: 587
Bei dieser Diskussion kann jeder sehr schön sehen wie das mit der Eigenverantwortung funktioniert, nämlich überhaupt nicht. Da wird schön der Ball hin und her geworfen, Uber ist der Böse, nein die Hacker sind die bösen. Letztlich egal, denn weder Uber noch die Hacker haben Moral. Doch der richtige dumme ist einfach nur der Kunde. Selber schuld wenn man in der Unmündigkeit lebt und Konzernen seine Daten anvertraut. Da ist es natürlich wichtig den Deppenstatus schleunigst auf Uber und oder die Hacker zu schieben. Bloß nicht darüber nachdenken, welch persönlicher Depp man selber ist.
Uber ein Konstrukt das nur darauf aus ist, die eigene Tasche zu füllen, auf Kosten vieler. Der größte Deal bei Uber ist ja nicht die Einnahme bei einem Transport und das ausnutzen aller steuerlichen Vorteile zu Gunsten von Uber, sondern die unglaubliche Menge an Daten der Nutzer die genau wie Uber nur drauf aus sind, irgendwo das schneller Geld auf Kosten anderer zu verdienen.
Wenn dann mal was falsch läuft wird geheult und immer ist der andere oder irgendwas schuld. Aber mal das Gehirn einschalten und nachdenken was wohl Google und Goldman Sachs als Geldgeber wirklich wollen ist natürlich eine zu große Hürde für die unmündigen Nutzer.
Mich freut das ungemein. Immer schön zu sehen, wie dumm doch so viele, viele, viele Menschen durch Leben gehen und sich in ihrer eigenen Unmündigkeit suhlen.
Doch mit der (a)sozialen Medien Gesellschaft, die genauso nur sich selber am nächsten stehen wie es eben die Leiter dieser Konzerne auch machen, ist eben keine gerechte Welt machbar.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Lohnt das Mining für den Privatanwender noch?

Logo von IMAGES/STORIES/2017/ETHEREUM

Bestimmte Grafikkartenmodelle sind schlecht verfügbar und einige Hersteller präsentieren sogar spezielle Mining-Modelle – bestes Anzeichen dafür, dass eine neue Mining-Welle anrollt. Ethereum basiert wie Bitcoins auf einer Blockchain-Technologie. Ethereum ist aber keine reine Kryptowährung,... [mehr]

Deutschen Bahn trainiert Mitarbeiter in der virtuellen Realität

Logo von IMAGES/STORIES/2017/DEUTSCHE_BAHN

Nicht nur das autonome Fahren auf der Straße spielt auf der GPU Technology Conference in München eine Rolle, auch die Deutsche Bahn hielt einen Vortrag, der sich mit dem Training von Mitarbeitern in einer virtuellen Umgebung befasste. Autonome Züge spielten jedenfalls keine Rolle, auch wenn in... [mehr]

Bitcoin droht der Hard Fork – Ethereum weiter auf niedrigem Kurs

Logo von IMAGES/STORIES/2017/ETHEREUM

Bereits in der vergangenen Woche deuteten sich einige Änderungen bei den Kryptowährungen an. Nach einem wochenlangen Hoch brach der Kurs des Ether auf weit unter 200 US-Dollar ein. Die Gründe dafür sind nicht immer ersichtlich. Oftmals gibt es auch Wechselwirkungen zwischen den einzelnen... [mehr]

AMD mit guten Quartalszahlen – Vega und Naples für Q2 bestätigt (Update)

Logo von IMAGES/STORIES/2017/AMD

AMD hat die ersten Quartalszahlen veröffentlicht, die nach dem Verkaufsstart der RYZEN-Prozessoren zusammengestellt wurden. Darin zeichnet das Unternehmen einen deutlichen Anstieg beim Umsatz aus, muss bisher aber noch auf Gewinne verzichten. Weitaus wichtiger aber ist, dass AMD in seinen... [mehr]

Apple Pay weiterhin nicht in Deutschland vorgesehen

Logo von IMAGES/STORIES/2017/APPLE_PAY

Apple Pay ist das drahtlose Bezahlsystem des iPhone-, iPad- und Mac-Herstellers, welches am 20. Oktober 2014 startet, bisher aber noch immer nicht den Weg nach Deutschland gefunden hat. Inzwischen hat Apple für viele Nachbarländer Apple Pay bereits eingeführt, Deutschland aber ist nach wie vor... [mehr]

Ermittler nehmen großes, illegales Usenet-Portal vom Netz

Logo von RECHTSSTREIT

Wie die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) in Zusammenarbeit mit mehreren Ermittlungsstellen per Pressemitteilung bekannt gab, hat es am Mittwoch und Donnerstag eine bundesweite Groß-Razzia gegen das Portal „usnetrevoloution.info“ gegeben – wegen des Verdachts... [mehr]