Datenleck bei Uber Kein Hackerangriff, sondern Sicherheitspanne

Kürzlich wurde bekannt, dass Unbekannte sich Zugang zu Daten Zehntausender Uber-Fahrer verschafft haben. Jetzt hat ein Gericht festgestellt: Der Fahrdienst selbst hat das Datenleck verursacht.

Fahrdienst-Vermittler Uber: Nun fordert die Firma die Herausgabe von IP-Adressen
Getty Images

Fahrdienst-Vermittler Uber: Nun fordert die Firma die Herausgabe von IP-Adressen


Der Leak von 50.000 Sätzen von personenbezogenen Daten - Namen und Führerscheinnummern - von amerikanischen Uber-Fahrern bekommt eine neue Dimension: Wie die gerichtliche Untersuchung in Kalifornien jetzt ergab, war der umstrittene Fahrdienst offensichtlich selbst Schuld an der Veröffentlichung der Daten. Das berichtet das US-Blog "Ars Technica".

Demnach speicherte Uber den eigentlich geheimen Schlüssel für die Datenbank in einem öffentlich zugänglichen Bereich ("Gist") des Cloud-Dienstes GitHub. GitHub ist ein Hosting-Service, der unter anderem von Software-Entwicklern genutzt wird. Sie können hier ihre Verzeichnisse speichern und sie für eine Zusammenarbeit mit anderen Programmierern teilen.

Den Schlüssel für eine Datenbank derart frei zugänglich ins Netz zu stellen, kommt einem Haustürschlüssel gleich, den man unter seine Fußmatte legt, bewertet das US-Blog "Ars Technica" diese Praxis. Denn selbst die "Private Gist" genannten Verzeichnisse von GitHub sind keinesfalls privat und uneinsehbar. Das stellt der Dienst auf seiner Hilfeseite unmissverständlich klar. Möglicherweise ist diese extreme Nachlässigkeit auch der Grund dafür, dass Uber das Leck mehr als zwei Monate lang verschwiegen hatte. Immerhin versicherte Uber in einem Statement, dass "sofort nach der Entdeckung die Zugangsprotokolle für die Datenbank geändert wurden" und kein unautorisierter Zugang mehr möglich sei.

Nun fordert Uber die Herausgabe von IP-Adressen

Nun versucht Uber von GitHub Informationen zu bekommen über alle Personen, die Zugang hatten zu dem Schlüssel. Dafür soll GitHub per Gerichtsbeschluss gezwungen werden, die IP-Adressen aller Personen herauszugeben, die die fragliche Datei gesichtet oder sogar heruntergeladen haben.

Schon im Januar 2013 berichtete "Ars Technica" über sorglos bei GitHub hochgeladene Passwörter und kryptografische Schlüssel, die sich durch eine Suchfunktion bei dem Hoster echt einfach ausfindig machen ließen. Als Hunderte solcher Informationen bei Twitter gepostet wurden, sperrte der Hosting-Dienst die Suchfunktion zeitweilig.

Dass es Uber mitunter mit dem Schutz personenbezogener Daten nicht so genau nimmt, fiel schon auf, als das Unternehmen auf einer Party eine "God View"-Funktion vorstellte, mit der sich die Bewegungsprofile von 30 Fahrgästen darstellen ließen. Auch deutete ein Uber-Manager in einem Gespräch mit einer amerikanischen Journalistin an, er könnte kompromittierende Informationen über ihr Leben veröffentlichen - eine Aussage, die er später zurücknahm.

abr



Forum - Diskutieren Sie über diesen Artikel
insgesamt 3 Beiträge
Alle Kommentare öffnen
Seite 1
hermann_huber 03.03.2015
1. Prima
Laut dem Präsidenten des Bundeskartellamt ist Über doch ein gelungener Weg um den verkrusteten Wettbewerb im Taxigewerbe aufzubrechen. (Ob der Präsident weiss wo und für wen er eigentlich genau arbeitet bezweifle ich schwer) Na ja was solls. Hauptsache billige Schwarzarbeiter. .. Geiz-ist-geil. Über ist Dreck!
YlfaNiki 03.03.2015
2. Sprache?
"(...) echt einfach (...)" Was ist das denn für ein Sprachstil?
quadraginti 03.03.2015
3. Kein qualifiziertes Personal
Unqualifiziertes Personal wählt als Passwort zB "12345", ist aber billiger.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.