Der Ride-Hailing-Riese Uber hat am Donnerstag bekannt gegeben, dass er auf einen Cybersecurity-Vorfall reagiert, bei dem sein Netzwerk angegriffen wurde, und dass er in Kontakt mit den Strafverfolgungsbehörden steht.
Die New York Times berichtete zuerst über den Vorfall.
Der Hack soll das Unternehmen dazu gezwungen haben, seine internen Kommunikations- und Techniksysteme vom Netz zu nehmen, um das Ausmaß des Einbruchs zu untersuchen.
Die Publikation berichtet, dass der böswillige Eindringling den Slack-Account eines Mitarbeiters kompromittierte und ihn nutzte, um die Nachricht zu verbreiten, dass das Unternehmen „einen Datenverstoß erlitten hat“, und um die internen Datenbanken aufzulisten, die angeblich kompromittiert worden sind.
„Später verschaffte sich der Hacker offenbar Zugang zu anderen internen Systemen und veröffentlichte ein freizügiges Foto auf einer internen Informationsseite für Mitarbeiter“, so die New York Times.
Dies ist nicht die erste Sicherheitslücke bei Uber. Uber wurde kritisch beäugt, weil es 2016 eine Datenpanne, von der 57 Millionen Fahrer und Fahrerinnen betroffen waren, nicht ordnungsgemäß gemeldet und den Hackern schließlich 100.000 Dollar gezahlt hatte, um die Panne zu vertuschen. Der Verstoß wurde erst Ende 2017 öffentlich bekannt.
Bundesstaatsanwälte in den USA haben seitdem den ehemaligen Sicherheitsbeauftragten Joe Sullivan wegen versuchter Vertuschung des Vorfalls angeklagt und behauptet, er habe „sein Team angewiesen, das Wissen über den Verstoß von 2016 streng zu kontrollieren“. Sullivan hat die Vorwürfe bestritten.
Im Dezember 2021 wurde Sullivan zusätzlich zu den bereits erhobenen Vorwürfen der Behinderung und des Betrugs in drei Fällen wegen Betrugs verurteilt. „Sullivan soll die Auszahlung einer sechsstelligen Summe an zwei Hacker veranlasst haben, damit diese über den Hack schweigen“, heißt es in der ergänzenden Anklageschrift.
Weiter heißt es in der Anklage, dass er „absichtlich Schritte unternommen hat, um zu verhindern, dass Personen, deren persönliche Daten gestohlen wurden, von dem Hack erfahren, und dass er Schritte unternommen hat, um die US Federal Trade Commission (FTC) über den Datenschutzverstoß zu verbergen, abzulenken und in die Irre zu führen“.
Der jüngste Datenschutzverstoß fällt in eine Zeit, in der das Strafverfahren gegen Sullivan vor dem US-Bezirksgericht in San Francisco verhandelt wird.