Die Behörden von Großbritannien und den Niederlanden verhängten eine Geldstrafe von 1,2 Millionen US-Dollar gegen European Uber wegen des Verlusts personenbezogener Daten von 7 Millionen Fahrern und 57 Millionen Passagieren im Jahr 2016. Darunter wurden Informationen über 2,7 Millionen Passagiere und 82.000 Fahrer aus Großbritannien sowie 174.000 niederländische Staatsbürger gestohlen. Zum Vergleich erklärte sich Uber im Uber bereit, 148 Millionen US-Dollar für eine vorgerichtliche Einigung zu zahlen.
Die kompromittierten Informationen enthielten Namen, E-Mail-Adressen und Telefonnummern sowie 600.000 amerikanische Führerscheine.
Ich möchte Sie daran erinnern, dass Uber im Oktober 2016 einem Angreifer, der sich als 20-jähriger Amerikaner herausstellte, 100.000 US-Dollar für das Löschen von Daten gezahlt und nicht für den Diebstahl personenbezogener Daten geworben hat.
Die Öffentlichkeit wurde am 21. November 2017 auf diesen Vorfall aufmerksam, als der neue Chef von Uber Dara Khosrovshahi eine Erklärung abgab. Er sagte, dass es keinen Hacking in das interne IT-System des Unternehmens gab. Ihm zufolge nutzt das Unternehmen einen Cloud-Speicherdienst eines Drittanbieters, auf dem die gestohlenen Informationen veröffentlicht wurden und auf den die Ransomware Zugriff hatte.
In diesem speziellen Fall handelt es sich um zwei Cloud-Dienste gleichzeitig: GitHub und Amazon Web Services (AWS). GitHub ist der größte kollaborative Quellcodeentwicklungs- und Speicherdienst, bei dem Uber-Entwickler Zugriffsschlüssel für ihr Unternehmenskonto in AWS gespeichert haben. Da das Quellcode-Repository geöffnet ist, kann jeder Informationen erhalten, um auf Uber-Daten zuzugreifen, die in der Amazon-Cloud gespeichert sind. Nachdem ein Angreifer mit einem Schlüssel von GitHub Zugriff auf AWS erhalten hatte, lud er 16 Dateien mit persönlichen Daten von dort herunter. Über die Verhinderung von Datenlecks auf GitHub haben wir einen separaten Artikel über Habré geschrieben .
Es sei darauf hingewiesen, dass diese Geldbußen bereits vor Inkrafttreten der Allgemeinen Datenschutzverordnung (DSGVO) von den britischen und niederländischen Behörden verhängt wurden.
Regelmäßige Nachrichten über einzelne Fälle von Datenlecks werden schnell auf dem Kanal Informationslecks veröffentlicht .