Uber: Dilettantischer Umgang mit Hack bringt nun 600.000-€-Strafe

Der Fahrten-Dienst Uber muss wegen des Verlustes seiner Kundendatenbank eine satte Geldbuße hinnehmen. Nicht nur der Vorfall selbst, sondern vor allem auch der Umgang mit dem Problem sorgen nun dafür, dass die zuständigen Behörden in den Niederlanden eine Strafe in Höhe von immerhin 600.000 Euro gegen das Unternehmen verhängten. Der Datendiebstahl selbst ereignete sich bereits im Jahr 2016. Das Unternehmen entschied sich allerdings erst ein Jahr später dafür, die betroffenen Kunden und die Behörden zu informieren. Zuvor versuchte man noch auf recht naive Art, das entstandene Problem in den Griff zu bekommen. Von Sicherheitsexperten mit Erfahrung um Umgang mit solchen Vorfällen kann Uber hier zumindest keinen Kontakt gehabt haben.

Der Angreifer hatte damals Datensätze von insgesamt 57 Millionen Kunden und Fahrern erbeutet. Die fragliche Datenbank umfasste wohl Namen, E-Mail-Adressen und Nummern von Führerscheinen. Zumindest so kritische Informationen wie Passwörter, Kreditkarten- und Sozialversicherungsnummern blieben dem Datendieb aber wohl verborgen.

Firma geht auf Erpressung ein

Die zuständigen Manager bei Uber versuchten anfangs allerdings, den Vorfall unter den Teppich zu kehren. So wurden dem Angreifer unter anderem 100.000 Dollar aus dem Bug Bounty-Budget des Dienstes überwiesen - in der Hoffnung, dieser würde die Informationen dann löschen statt sie zu veröffentlichen. Mit entsprechenden Zusicherungen gab man sich letztlich auch zufrieden. Erst die Wachablösung auf dem Posten des Firmenchefs sorgte dafür, dass der gesetzlich vorgeschriebene Weg im Umgang mit einem solchen Zwischenfall eingeleitet wurde.

Die niederländische Datenschutzbehörde ließ es dabei allerdings nicht bewenden. Da auch 174.000 Nutzer aus ihrem Verantwortungsbereich von dem Datendiebstahl betroffen waren, verhängte man nun die genannte Summe als Bußgeld gegen das Unternehmen. Die Entscheidung stützt sich im Wesentlichen auf die Tatsache, dass das Unternehmen die Behörde nicht binnen der vorgeschriebenen 72 Stunden über den Vorfall informierte.

Siehe auch: Uber ließ sich Daten von 57 Mio Kunden klauen & hielt Hack geheim Verbot, Uber, Taxi, Mitfahrdienst Uber