- von Jim Finkle und Heather Somerville
Toronto (Reuters) - Die Skandale um den US-Mitfahrdienst Uber reißen nicht ab: Nun räumte der Konzern ein, Hackern zur Vertuschung eines massiven Diebstahls von Kundendaten Geld gezahlt zu haben.
Im Oktober 2016 wurden Uber zufolge persönliche Informationen von rund 57 Millionen Nutzerkonten gestohlen. Um die Hacker zum Schweigen zu bringen, nahm das teuerste von Finanzinvestoren gestützte Unternehmen der Welt 100.000 Dollar in die Hand. "Nichts davon hätte passieren dürfen und ich werde dies nicht entschuldigen", schrieb Uber-Chef Dara Khosrowshahi im Unternehmensblog. Der Chef-Sicherheitsbeauftragte Joe Sullivan und einer seiner Stellvertreter seien im Zusammenhang mit dem Diebstahl entlassen worden. Khosrowshahi hatte erst im August den umstrittenen Mitgründer Travis Kalanick an der Spitze von Uber abgelöst.
Uber steht seit Jahren in den Schlagzeilen. Zum einen sorgt die aggressive Expansionspolitik mit Kampfpreisen bei traditionellen Taxiunternehmen und Wettbewerbern wie Didi und Lyft für Kritik. Zum anderen gab es intern bei Uber immer wieder Skandale. Gegen Kalanick liegen Vorwürfe sexueller Belästigung sowie eine Klage wegen Fehlverhaltens im Unternehmen vor. Zudem laufen mehrere Strafverfahren. Kalanick soll Insidern zufolge bereits einen Monat nach dem Diebstahl, von dem der neue Chef erst kürzlich erfuhr, in Kenntnis gesetzt worden sein. Kalanick, der weiterhin einen Verwaltungsratsposten innehat, wollte keine Stellung nehmen.
NAMEN VON 600.000 FAHRERN ENTHÜLLT
Nach Informationen des neuen Uber-Chefs, der zuvor zwölf Jahre Chef des Reiseportals Expedia war, wurden bei dem Diebstahl Namen, E-Mail-Adressen und Mobiltelefon-Nummern von Kunden aus aller Welt gehackt. Auch die Namen und Lizenz-Nummern von rund 600.000 Uber-Fahrern in den USA seien betroffen gewesen. Inwieweit Daten deutscher Kunden in falsche Hände gelangten, ist unklar. In der Bundesrepublik ist es Uber untersagt, Dienste mit Fahrern zu vermitteln, die keine Beförderungslizenz haben.
Laut Khosrowshahi gelangten die zwei Hacker über die Softwareentwickler-Plattform GitHub an Ubers Anmeldeinformationen für einen Cloud-Anbieter, wo sie damit die entsprechenden Kundendaten herunterladen konnten. Eine Github-Sprecherin sagte, der Angriff sei keine Folge von Sicherheitslücken bei der Plattform. Die Agentur Bloomberg hatte zuerst über den Diebstahl berichtet.
Khosrowshahi betonte nun, Uber werde aus den Fehlern lernen und hart daran arbeiten, das Vertrauen seiner Kunden zurückzugewinnen. Die Sicherheitsabteilung würde neu aufgebaut und die Cyber-Firma FireEye schaue sich die Sicherheitslücke genauer an. Zudem seien die Behörden informiert worden. Der New Yorker Generalstaatsanwalt habe ein Verfahren eröffnet. Am Mittwoch kündigten zudem Behörden in Australien und auf den Philippinen an, den Fall zu prüfen. In Asien bemüht sich Uber derzeit um eine milliardenschwere Geldspritze durch ein Konsortium, das vom japanischen Telekomkonzern Softbank angeführt wird.[nL8N1NK15B]
KEIN EINZELFALL?
Reuters erfuhr von Mitarbeitern des US-Geheimdienstes FBI und von privaten Sicherheitsunternehmen, dass Zahlungen an Hacker zwar selten öffentlich würden, aber eine steigende Zahl von Firmen genau dies mache, um gestohlene Daten zurückzugewinnen. Bei Uber ist es nicht das erste Mal, dass es zu einem Datenklau kam. In der Vergangenheit waren Kriminelle schon einmal an Informationen von Fahrern gelangt und 2014 gaben Mitarbeiter zu, ein Software-Programm genutzt zu haben, um Passagiere zu verfolgen.