57 Millionen Daten aus der Cloud geklaut, aber Uber schweigt und zahlt

22. November 2017, 15:03
  • security
  • uber
  • cyberangriff
  • lücke
  • schweiz
  • swico
image

Es ist ein Mega-Hack und im Silicon Valley gilt dafür eine Meldepflicht. In der Schweiz wird jetzt darüber nachgedacht.

Es ist ein Mega-Hack und im Silicon Valley gilt dafür eine Meldepflicht. In der Schweiz wird jetzt darüber nachgedacht.
Dem Fahrdienst Uber wurden vor einem Jahr Daten von rund 50 Millionen Fahrgästen rund um die Welt gestohlen. Der erfolgreiche Hack wurde ein Jahr lang verschwiegen.
Uber räumte nun ein, weder Behörden noch Betroffene über den Hack informiert zu haben. Stattdessen seien den Hackern 100'000 Dollar bezahlt worden, damit sie die gestohlenen Daten vernichten.
Es gehe um Namen, E-Mail-Adressen und Telefonnummern von Nutzern rund um die Welt, erklärte Uber dem Finanzdienst 'Bloomberg'. Ausserdem hätten sich die Angreifer auch Zugriff auf Daten von etwa sieben Millionen Uber-Fahrern verschafft. Darunter sind 600'000 Daten von Fahrausweisen, die in den USA oft als ID verwendet werden. Es seien aber keine Kreditkarten-Daten oder Informationen zu Fahrten heruntergeladen worden, hält die Firma in einer Medienmitteilung fest. Ob diese Daten aber offen lagen, wird nicht präzisiert.
Es gebe keine Indizien, dass die Informationen verwendet worden seien, hiess es.
Die Hacker seien an Daten in der Cloud gekommen. Dies ergab eine interne Security-Untersuchung bei Uber, welche von Mandiant, einer FireEye-Tochter, durchgeführt wurde.
Der Uber-CSO Joe Sullivan wurde jetzt entlassen, er war zuvor CSO von Facebook gewesen. Der damalige CEO, Travis Kalanick, sei ebenfalls informiert über den Hack gewesen, rapportieren Medien. Offen ist noch, wer sonst noch vom Diebstahl wusste und wer die Zahlung visiert hat. Ebenso offen ist, ob der Verwaltungsrat informiert wurde oder nicht.
Die New Yorker Staatsanwaltschaft hat nun eine Untersuchung eingeleitet, Sammelklagen dürften folgen. Uber selbst hat einen früheren NSA-Mann angeheuert, um im Security-Department aufzuräumen.
Und in der Schweiz?
Uber ist in San Francisco zuhause. Aber nicht nur im Silicon Valley, sondern in ganz Kalifornien gilt eine Meldepflicht, wenn mehr als 500 Kalifornier von einem Leck betroffen sind. In der Schweiz gibt es eine solche nicht. Noch nicht.
Diverse Kräfte, darunter der Verband Swico, fordern aber eine solche. Auch der Melani-Chef Pascal Lamia befürwortet eine Meldepflicht inzwischen.
Ob sie kommt, wird sich in der angekündigten "Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken 2018 bis 2022" zeigen. Das Informatiksteuerungsorgan des Bundes (ISB) arbeitet diese bis Ende Jahr aus. "Es ist korrekt, dass wir im Rahmen der Entwicklung der NCS 2018-2022 verschiedenste Möglichkeiten prüfen", antwortet Melani im Namen des ISB auf Anfrage. "Im Moment wäre es aber noch viel zu früh, entsprechende Aussagen zu machen". (Marcel Gamma)

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

In der Schweizer IT-Branche steigen die Löhne weiter

Michael Page hat seine neue Lohnübersicht veröffentlicht. Kandidatenmangel und Inflation führen zu steigenden Lohnerwartungen. Mit welchen Löhnen IT-Beschäftigte rechnen können.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023