Datensicherheit: Uber-Mitarbeiter sollen Promis ausgespäht haben
Die Klage kommt für Uber zur Unzeit. Gerade erst musste das Unternehmen Kritik für seine neuen Regeln zur Datennutzung einstecken(öffnet im neuen Fenster), denn seit Kurzem nimmt sich der Fahrdienstleister das Recht heraus, die Nutzer seiner App auch dann noch zu tracken, wenn diese die App gerade gar nicht benutzen. Die App fordert außerdem vollen Zugriff auf das Adressbuch der Nutzer.
Neue Klage gegen Uber
Wie das Center for Investiagtive Reporting (CIR) jetzt berichtet(öffnet im neuen Fenster), sichert das Unternehmen persönliche Informationen von Kunden offenbar so schlecht ab, dass Mitarbeiter unter anderem die Fahrten beliebiger Nutzer in Echtzeit verfolgen können.
Dies geht aus einer Klage(öffnet im neuen Fenster) von Ubers ehemaligem Sicherheitsexperten Samuel Ward Spangenberg gegen seinen früheren Arbeitgeber vor einem kalifornischen Gericht hervor. Er wirft dem Unternehmen vor, nicht nur Mindestanforderungen beim Datenschutz zu missachten, sondern durch das Löschen von Dateien aus der Ferne auch aktiv offizielle Untersuchungen zum Beispiel bei der Steuerprüfung zu behindern.
Datenschutz zweitrangig?
Im Gespräch mit dem CIR berichtet Spangenberg von einer Startup-Kultur bei Uber, in der ausschließlich schnelles Wachstum zähle. IT-Sicherheit und Datenschutz seien da nur nachgelagerte Themen. Uber sei "eben keine Sicherheitsfirma", würde Mitarbeitern eingebläut. Wegen fehlender Schutzmechanismen hätten Angestellte den Echtzeitzugriff zum Beispiel dazu genutzt, ihren Ex-Partnern, hochrangigen Politikern oder Promis wie Beyoncé hinterherzustalken, so der Kläger.
Spangenberg verlor seinen Posten als Forensic Investigator bereits elf Monate nach seiner Anstellung wieder, laut Uber wegen Fehlverhaltens im Job. Er habe den internen Verhaltenskodex verletzt und eigenmächtig seinen Arbeitsplatzrechner formatiert. Um auszuschließen, dass es sich bei Spangenberg nur um einen gekränkten Ex-Mitarbeiter handelt, hat das CIR daher vier weitere ehemalige Angestellte von Uber interviewt, die die laxe Datenschutzpraxis des Unternehmens bestätigten.
Uber streitet alles ab
Uber weist indes alle Vorwürfe zurück. Der Fahrdienstleister besteht in einer Stellungnahme gegenüber dem CIR darauf, dass "Hunderte von Sicherheits- und Privacy-Experten rund um die Uhr daran arbeiten, unsere Daten zu schützen." Es gebe "strikte Regeln, die es Mitarbeitern auf allen Ebenen verbieten, die Daten eines Mitfahrers oder Fahrers einzusehen." Das Unternehmen habe bisher weniger als zehn Mitarbeiter wegen unerlaubten Zugriffs auf persönliche Daten gefeuert. Ob die Zahl so niedrig ist, weil es so wenig Missbrauch gibt, oder weil Missbrauch nicht entdeckt wird, bleibt unklar.
Die fünf Ex-Mitarbeiter bestätigten im Gespräch mit CIR zwar die Existenz strikter Regeln, diese würden jedoch weder eingehalten noch effektiv kontrolliert. "Wenn du weißt, was du tust, könntest du für immer unentdeckt bleiben", sagte Spangenberg. "Der Zugang zu den Daten ist immer da, es ist also nur die Frage, ob dein Datenzugriff in der Masse der Zugriffe entdeckt wird."
Uber fällt nicht das erste Mal auf
Spangenbergs Klage reiht sich in eine lange Folge ähnlicher Fälle bei Uber ein. Bereits 2014 musste das Unternehmen auf Vorwürfe reagieren(öffnet im neuen Fenster), mit einem internen Programm namens "God View" konnten Angestellte offenbar alle Uber-Fahrer und -Nutzer in Echtzeit verfolgen.
Im gleichen Jahr berichtete Buzzfeed(öffnet im neuen Fenster), dass Uber-Mitarbeiter die Bewegungen seiner Journalistin verfolgt hätten, nachdem Ubers Senior Vice President Emil Michael angeregt hatte(öffnet im neuen Fenster), "schmutzige" persönliche Informationen über Journalisten zu sammeln, die das Unternehmen kritisierten. Michael entschuldigte sich später für die Aussagen. Er sei der Überzeugung gewesen, er habe Off-The-Record gesprochen.
Im Februar 2015 musste sich Uber für den Verlust von über 100.000 Datensätzen persönlicher Informationen seiner Fahrer entschuldigen(öffnet im neuen Fenster). In den "potenziell von Dritten" abgegriffenen Datenbanken waren demnach Namen und Führerscheinnummern gespeichert.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.