{"id":196628,"date":"2017-11-22T06:24:50","date_gmt":"2017-11-22T05:24:50","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=196628"},"modified":"2024-08-08T23:19:14","modified_gmt":"2024-08-08T21:19:14","slug":"uber-datenleak-millionen-nutzerdaten-gestohlen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/11\/22\/uber-datenleak-millionen-nutzerdaten-gestohlen\/","title":{"rendered":"Uber-Datenleak: Millionen Nutzerdaten gestohlen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Beim Mitfahrdienst Uber gab es ein Datenleak, Cyberkriminelle hatten 2016 Zugriff auf Millionen Nutzerdaten. Das Uber-Management hat 100K US $ an L\u00f6segeld, getarnt als Bug Bounty-Pr\u00e4mie, gezahlt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/2004fb334212496c90fb20c129f6ff9e\" alt=\"\" width=\"1\" height=\"1\" \/>Caring is sharing \u2013 mit dem flotten Spruch treten Firmen wie Uber an, um den Transport von Personen zu \u00fcbernehmen und Taxi-Unternehmen Marktanteile abzujagen. Das US-Unternehmen ist schon mal durch ruppige Aktionen wie \u00dcberwachung seiner Fahrer und Nutzer oder Filterung von Polizisten als Kunden aufgefallen (siehe <a href=\"https:\/\/web.archive.org\/web\/20230323091201\/https:\/\/www.heise.de\/mac-and-i\/meldung\/Uber-will-Nutzer-nach-Fahrtende-nicht-mehr-per-iPhone-ueberwachen-3816731.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>, <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Uber-App-blockiert-Polizisten-um-Strafen-zu-vermeiden-3644268.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> und <a href=\"https:\/\/web.archive.org\/web\/20170212182133\/http:\/\/www.gruenderszene.de\/automotive-mobility\/uber-fahrer-per-smartphone-uberwacht\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>). Wer den Uber-Fahrdienst in Anspruch nimmt, muss \u00fcber eine App buchen und pers\u00f6nliche Daten hinterlassen. Nicht jedem d\u00fcrfte Recht sein, wenn diese Daten in fremde H\u00e4nde gelangen.<\/p>\n<p><img decoding=\"async\" title=\"Uber\" src=\"https:\/\/i.imgur.com\/c5JWJ5R.jpg\" alt=\"Uber\" \/><br \/>\n(Quelle: Pexels\/<a href=\"https:\/\/www.pexels.com\/de\/foto\/iphone-smartphone-app-taxi-34239\/\" target=\"_blank\" rel=\"noopener noreferrer\">freestocks.org<\/a> CC0 Lizenz)<\/p>\n<h2>Datenleak in 2016<\/h2>\n<p>Genau das scheint aber in 2016 passiert zu sein. Nach einer Presseverlautbarung (<a href=\"https:\/\/web.archive.org\/web\/20171122114647\/https:\/\/www.uber.com\/newsroom\/2016-data-incident\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> abrufbar \u2013 im Chrome muss wegen eines Autodirects auf die US-Seite umgestellt werden) hatten im Oktober 2016 zwei Individuen unberechtigten Zugriff auf Nutzerdaten, die auf einem Cloud-Server eines Drittanbieters gespeichert waren. Laut Uber waren folgende Datenmengen betroffen:<\/p>\n<ul>\n<li>600.000 Fahrerdaten (Name, F\u00fchrerscheinnummer) in den USA \u2013 Details <a href=\"https:\/\/web.archive.org\/web\/20181002072528\/https:\/\/help.uber.com\/h\/0ded7de4-ed4d-4c75-a3ee-00cddeafc372\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>.<\/li>\n<li>57 Millionen Uber Nutzerdaten (Name, E-Mail-Adresse, Mobilfunknummer) weltweit \u2013 Details <a href=\"https:\/\/web.archive.org\/web\/20180824202321\/https:\/\/help.uber.com\/h\/12c1e9d1-4042-4231-a3ec-3605779b8815\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>.<\/li>\n<\/ul>\n<p>Bei Bloomberg <a href=\"https:\/\/www.bloomberg.com\/news\/articles\/2017-11-21\/uber-concealed-cyberattack-that-exposed-57-million-people-s-data\" target=\"_blank\" rel=\"noopener noreferrer\">findet sich die Info<\/a>, dass in den 57 Millionen Nutzerdaten wohl auch die pers\u00f6nlichen Informationen von 7 Millionen Fahrern enthalten waren. Uber hat das Ganze ein Jahr lang unter Verschluss gehalten.<\/p>\n<h2>Leak \u00fcber GitHub<\/h2>\n<p>Das Uber-Dokument ist recht schwammig \u2013 nat\u00fcrlich wurden die Infrastruktur von Uber nicht gehackt und es wurden keine Kreditkartendaten gestohlen. Bei <a href=\"https:\/\/www.bloomberg.com\/news\/articles\/2017-11-21\/uber-concealed-cyberattack-that-exposed-57-million-people-s-data\" target=\"_blank\" rel=\"noopener noreferrer\">Bloomberg<\/a> gibt es mehr Informationen, die wohl direkt von Uber gegen\u00fcber der Nachrichtenagentur bekannt gegeben wurden.<\/p>\n<p>Demnach hatten zwei Angreifer Zugriff auf eine private GitHub-Codierungsseite, die von Uber-Software-Ingenieuren verwendet wurde. Dort erhielten sie wohl Anmeldeinformationen, um auf Daten zuzugreifen, die auf einem Amazon-Webservice-Konto gespeichert waren. Zweck war es, bestimmte Computerauftr\u00e4ge f\u00fcr das Unternehmen zu erledigen. Auf dem AWS-Server entdeckten die zwei Personen ein Archiv mit Informationen zu Fahrern und Fahrg\u00e4sten.<\/p>\n<p>Die beiden schickten Uber eine E-Mail, in der sie \u00fcber den Datenfund berichteten nach Geld fragten. Eigentlich h\u00e4tte Uber dieses Datenleak sofort den Benutzern und Beh\u00f6rden anzeigen m\u00fcssen. Aber ein Flickenteppich an Regularien der Bundesstaaten und US-Gesetze f\u00fchrte dazu, dass sich Uber verzettelt habe \u2013 so die Botschaft des Unternehmens gegen\u00fcber Bloomberg. So sei Uber, laut eigener Aussage, daran gescheitert, die obligatorische Information an die Beh\u00f6rden zum Leak der F\u00fchrerscheindaten zu melden. Klingt alles sehr nebul\u00f6s, was Bloomberg da als Botschaft von Uber transportiert.<\/p>\n<p>Einen anderen Blick offenbar die Situation von Uber, als der Hack stattfand. Ubers Mitbegr\u00fcnder und ehemaliger CEO, Kalanick, erfuhr von dem Hack im November 2016. Uber hatte aber gerade einen Rechtsstreit mit dem Generalstaatsanwalt von New York \u00fcber die Offenlegung der Datensicherheit beigelegt. Zudem war man gerade dabei, mit der Federal Trade Commission \u00fcber den Umgang mit Verbraucherdaten zu verhandeln. Da kam die n\u00e4chste Hiobsbotschaft zur Unzeit.<\/p>\n<p>Uber CEO Kalanick zahlte 100.000 US $ Schweigegeld, getarnt als Bug Bounty Pr\u00e4mie, an die beiden Individuen, damit die Daten gel\u00f6scht wurden. Anschlie\u00dfend wurde das Datenleak wohl ein Jahr unter Verschluss gehalten. Inzwischen sind Kalanick und der damals zust\u00e4ndige Sicherheitschef, Joe Sullivan, nicht mehr bei Uber.<\/p>\n<p>Sullivan, der scheidende Sicherheitschef, scheint wohl die treibende Kraft f\u00fcr die damals getroffenen Entscheidungen gewesen zu sein, wie ein Uber Sprecher gegen\u00fcber Bloomberg erkl\u00e4rte. Sullivan, ein ehemaliger Bundesstaatsanwalt, der im Jahr 2015 von Facebook zu Uber kam, stand im Zentrum eines Gro\u00dfteils der Entscheidungsfindung. Der Hack kam auch nur durch eine andere Untersuchung ans Tageslicht. Letzten Monat berichtete Bloomberg, dass der Uber Aufsichtsrat eine Untersuchung der Aktivit\u00e4ten von Sullivans Sicherheitsteam in Auftrag gegeben habe. Bei dieser Untersuchung, geleitet durch eine externe Anwalts-Soziet\u00e4t, wurde der Vorgang laut Uber entdeckt. Das ist nur ein weiterer Vorfall in einer langen Kette an Datenleaks und Hacks von US-Firmen. Da ist ziemlich was faul beim Thema Cyber-Sicherheit.<\/p>\n<p>Nachtrag: Ein paar Erg\u00e4nzungen finden sich in <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Uber-verschwieg-Daten-Diebstahl-bei-50-Millionen-Kunden-3897154.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem deutschsprachigen Beitrag<\/a>.<\/p>\n<h2>Interessante Stellungnahme von Bullgard<\/h2>\n<p>Nach Ver\u00f6ffentlichung des Beitrags habe ich noch einen Kommentar der Antivirus-Firma Bullgard erhalten, der einige interessante Aspekte anspricht. Hier der unkommentierte Text .<\/p>\n<blockquote><p><strong>Ein unverzeihlicher Fehltritt in Sachen Informationssicherheit<\/strong><\/p>\n<p>Paul Lipman, CEO des Cybersecurity-Anbieters BullGuard, kommentiert den Uber-Hack:<\/p>\n<p>Schon allein die unverschl\u00fcsselte Speicherung der Kundendaten ist unverzeihlich. Ein absoluter Fehltritt in Sachen Informationssicherheit. Dar\u00fcber hinaus hat Uber \u2013 unabh\u00e4ngig von s\u00e4mtlichen rechtlichen Verpflichtungen zur Offenlegung \u2013 die ethische Pflicht, ihre Kunden und Fahrer \u00fcber den Vorfall zu informieren und alles daf\u00fcr zu tun, ihre Identit\u00e4ten zu sch\u00fctzen.<\/p>\n<p>Der Vorfall bringt die Diskussion rund um die Verantwortung von Unternehmen f\u00fcr die Daten ihrer Kunden wieder auf die Tagesordnung. Die Europ\u00e4ische Kommission hat entsprechende Vorschriften erlassen, dass Internet- und Telekommunikationsanbieter Sicherheitsvorf\u00e4lle innerhalb von 24 Stunden melden m\u00fcssen, wenn Kundendaten betroffen sind. Und das ist richtig so. Jede Organisation, die sensible Kundendaten verantwortet, hat die Pflicht, diese auch zu sch\u00fctzen. Leider sehen wir immer wieder, wie Unternehmen dieser Verpflichtung nicht nachkommen.<\/p>\n<p>Au\u00dferdem gibt es Verordnungen, die amerikanische Unternehmen betreffen, die in Europa agieren und Daten von EU-B\u00fcrgern nutzen. Zum Beispiel m\u00fcssen sie die Meldung von Datenlecks sicherstellen oder die elterliche Erlaubnis einholen, wenn Kinder unter 16 Jahren einem sozialen Netzwerk beitreten m\u00f6chten. Au\u00dferdem m\u00fcssen sie jedem EU-B\u00fcrger das \u201eRecht auf Vergessen\" bez\u00fcglich s\u00e4mtlicher pers\u00f6nlicher Daten einr\u00e4umen. Gr\u00f6\u00dfere Unternehmen m\u00fcssen sogar eine bestimmte Person benennen, die verantwortlich f\u00fcr den Datenschutz ist.<\/p>\n<p>In den meisten F\u00e4llen werden diese Anforderungen erf\u00fcllt, doch es gibt immer wieder Unternehmen, die versuchen, diese Gesetze zu umgehen. Sie sehen diese Regularien schlicht als Behinderung ihres Gesch\u00e4ftsmodells.<\/p>\n<p>Mit Inkrafttreten der Datenschutzgrundverordnung (DGSVO) im Mai 2018 wird diese Problematik weiter befeuert. Die DGSVO verlangt, dass alle Unternehmen, die Daten von EU-B\u00fcrgern verantworten, diese sch\u00fctzen m\u00fcssen. Kommen sie dieser Pflicht nicht nach, m\u00fcssen sie mit Strafen von bis zu vier Prozent ihres weltweiten Umsatzes rechnen. Am Beispiel von Facebook w\u00e4re das bei einem Umsatz von 24 Mrd. US-Dollar im vergangenen Jahr eine Strafe von etwa 100 Millionen US-Dollar.<\/p>\n<p>GDPR wird hoffentlich zu einem versch\u00e4rften Datenschutz f\u00fchren und F\u00e4lle wie den Uber-Hack in Europa vermeiden. In den USA gibt es ebenfalls strenge Cybersecurity- und Datenschutz-Gesetze. Aber wir sehen leider, dass diese nicht immer eingehalten werden. Viele Unternehmen sind einfach nicht vorbereitet auf die massiven Cyberangriffe, wie wir sie bisher gesehen haben und in Zukunft verst\u00e4rkt sehen werden.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Beim Mitfahrdienst Uber gab es ein Datenleak, Cyberkriminelle hatten 2016 Zugriff auf Millionen Nutzerdaten. Das Uber-Management hat 100K US $ an L\u00f6segeld, getarnt als Bug Bounty-Pr\u00e4mie, gezahlt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-196628","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196628","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=196628"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196628\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=196628"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=196628"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=196628"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}