Taxi-Killer Uber zählt nicht unbedingt zu den beliebtesten Unternehmen. Mal wieder trägt man ein Stück weit selbst zu diesem Ruf bei. Gerade hat Uber eingestanden, dass eine Datenbank mit Angaben über die Fahrer von Unbekannten kompromittiert wurde. Der Vorfall ereignete sich jedoch nicht erst jetzt, sondern bereits vor fast einem Jahr. Im September entdeckte man den Hack, jetzt erst veröffentlicht Uber die entsprechenden Informationen.
50.000 Fahrerdaten betroffen
In einem Statement von Ende letzter Woche räumt Uber ein, dass Unbekannte am 13. Mai 2014 Zugang zu einer Datenbank hatten. Wie Uber feststellt, war dieser Zugang jedoch nicht dauerhaft, sondern nur einmalig (One-time access). Bis Uber den Hack feststellte, verging jedoch viel Zeit – erst am 13. September wurde er entdeckt.
Die betroffene Datenbank enthielt Angaben zu einigen, jedoch nicht der gesamten Zahl der Uber-Fahrer. Immerhin wurden Namen und Kennzeichen von ca. 50.000 Fahrern gestohlen – die meisten davon aus Kalifornien. Die Betroffenen werden nun informiert und Uber hat bereits rechtliche Schritte eingeleitet.
Langsame Reaktion
Ob und wie Unternehmen mit Hacks rausrücken ist bereits in der Vergangenheit immer wieder kritisiert worden. In den USA und anderswo hat das bereits dazu geführt, dass die Unternehmen von staatlicher Seite aus verpflichtet worden sind, solche Hacks bekannt zu geben. Wie genau die Pflichten der Unternehmen aussehen, ist jedoch unterschiedlich.
In den USA gelten beispielsweise pro Bundesstaat andere Regeln – Unternehmen müssen hier ganz unterschiedliche Zeitspannen einhalten, in denen sie Betroffene informieren müssen. Während es in Florida 30 Tage sind, gewährt Wisconsin 45 Tage. In Kalifornien, wo Uber seinen Firmensitz hat, ist das eher unbestimmt. So schnell wie möglich und ohne unnötige Verzögerung heißt es da.
Verwunderung über große Zeitspanne
Nicht ganz ohne Verwunderung fragt man sich deshalb nun, warum Uber so viel Zeit vergehen ließ. Die Zeitspanne vom Entdecken der Sicherheitslücke im September bis zur Bekanntgabe Ende Februar betrug immerhin ein halbes Jahr – und da war die Sicherheitslücke selbst schon fast ein halbes Jahr alt.
Uber selbst sagt nicht, warum es im konkreten Fall so lange gedauert hat. Sicherheitsexperten kritisieren das Vorgehen aber lautstark, zumal die Tatsache, dass die Sicherheitslücke erst nach so langer Zeit aufgetaucht ist, auf eine eher unregelmäßige Kontrolle durch Uber hinweist.
Kleine Widergutmachung
Uber verspricht nun, die betroffenen Fahrer persönlich zu informieren. Nach Unternehmensangaben gab es ohnehin bisher noch keine Hinweise darauf, dass die Daten in irgendeiner Weise missbraucht worden sind.
Vermutlich reichen Kennzeichen und Name auch nicht aus um tatsächlich Identitäten zu klauen. Uber rät den Fahrern dennoch, ihre Abrechnungen auf mögliche Unregelmäßigkeiten hin zu prüfen.
Warum Uber so lange mit der Bekanntgabe gewartet hat, kann man also nur vermuten. Aus PR-Sicht scheint der Schritt jedenfalls eher ungünstig. Immerhin hat Uber angekündigt, den Betroffenen nun eine Jahresmitgliedschaft bei ProtectMyID zu schenken, einem Service gegen Identitätsdiebstahl.
Bild: Uber
