Uber 2016 databrud: 57 mio. brugerdata og dækning
En figur, der ligner Joe Sullivan, sidder ved et træskrivebord, med en åben bærbar computer foran sig, der viser en hvirvlende Bitcoin-transaktionsgrafik, som symboliserer den kontroversielle betaling til hackere under Uber-databruddet i 2016.
Sag

Uber 2016 databrud: 57 mio. brugerdata og dækning

I 2016 blev Uber hacket, og personlige oplysninger om 57 millioner brugere og chauffører blev stjålet. Uber forsøgte at dække over hacket ved at betale hackerne løsepenge.

SSusanne Sperling
8 min read
0 views

Fakta Box

Antal Berørte Brugere57 millioner Uber-brugere og 600.000 chauffører
AngrebsmekanismeUdnyttelse af AWS-adgangsnøgle fundet på GitHub
Bødestraf148 millioner dollars i 2018 til amerikanske stater

Uber databrud oktober 2016: Betaling og mørklægning

I oktober 2016 blev Uber ramt af et omfattende databrud, en digital katastrofe, hvor hackere skaffede sig adgang til personlige oplysninger tilhørende 57 millioner Uber-brugere og 600.000 amerikanske chauffører. I stedet for at overholde lovens krav om øjeblikkelig rapportering til de berørte parter og myndighederne, valgte Ubers ledelse en kontroversiel og uortodoks strategi: De betalte hackerne en betydelig sum for at slette de stjålne kundedata og fortie hændelsen i over et år. Denne beslutning blotlagde ikke kun kritiske sårbarheder i Ubers cybersikkerhed, men også en dybt problematisk virksomhedskultur, hvor beskyttelse af brandet og minimering af negativ omtale tilsyneladende vejede tungere end kundernes sikkerhed og lovmæssig compliance. Denne højprofil sag kulminerede i en af de største bøder nogensinde for et databrud og kastede nyt lys over tech-ledelsens ansvar.

Ubers kultur under Kalanick: Ignoreret cybersikkerhed

Historien om Uber databruddet i 2016 starter dog tidligere. Uber var i 2016 allerede en global gigant inden for kørselstjenester via internet, som havde ekspanderet voldsomt siden grundlæggelsen i 2009. Den aggressive ekspansionsstrategi og en berygtet "win-at-all-costs"-mentalitet under daværende CEO Travis Kalanick havde imidlertid skabt en virksomhedskultur, hvor interne processer, herunder cybersikkerhed, ofte blev nedprioriteret. Allerede i 2014 havde Uber oplevet et mindre databrud, der kompromitterede data for 50.000 chauffører, hvilket burde have været en klar advarsel om systematiske sårbarheder.

Den fatale fejl: AWS-nøgle gav adgang til brugerdata

Selve cyberangrebet i 2016 startede med en simpel, men fatal fejl. Uber-ingeniører havde utilsigtet eksponeret en adgangsnøgle til virksomhedens cloud-lagring hos Amazon Web Services (AWS) på GitHub, en populær platform for udviklere, hvor nøglen var indlejret i et stykke kildekode. Hackerne, der sandsynligvis udnyttede login-oplysninger stjålet ved tidligere databrud på andre tjenester, fik adgang til en Uber-ingeniørs GitHub-konto. Der fandt de den kompromitterede AWS-nøgle, som gav dem uhindret adgang til Ubers Amazon S3-datastore. Her lå ubeskyttede (uencrypterede) backup-filer med de følsomme personlige oplysninger. I alt blev over 200 filer downloadet, indeholdende fulde navne, e-mailadresser og mobiltelefonnumre for 57 millioner brugere globalt. For 600.000 amerikanske chauffører var situationen endnu mere alvorlig, da deres kørekortnumre også blev stjålet, hvilket øgede risikoen for identitetstyveri. Kreditkortoplysninger og bankkonti blev dog – bemærkelsesværdigt nok – ikke kompromitteret ved dette specifikke databrud.

Mørklægning: Sullivan betalte $100.000 til hackerne

Da databruddet blev opdaget, traf Ubers daværende Chief Security Officer, Joe Sullivan, en yderst kontroversiel beslutning. I stedet for at følge standardprocedurer, der kræver omgående rapportering af sådanne alvorlige hændelser til myndigheder og berørte parter, valgte Sullivan at behandle situationen som et "bug bounty"-program. "Bug bounties" bruges normalt til at belønne etiske hackere, der finder og rapporterer sikkerhedshuller, men her blev det misbrugt til at dække over en kriminel handling. Betalingen til hackerne kan betragtes som en form for afpresning eller bestikkelse. Uber betalte de to hackere 100.000 dollars i Bitcoin med krav om, at de slettede de stjålne kundedata og underskrev en fortrolighedsaftale, der effektivt forhindrede dem i at afsløre databruddet. Denne betaling, der kan ses som en form for bestikkelse, skete angiveligt med kendskab og accept fra den daværende CEO Travis Kalanick, som ifølge senere rapporter blev informeret kort efter opdagelsen. Dette dæk-up reflekterede dybt den problematiske virksomhedskultur hos Uber på daværende tidspunkt, hvor der var en gentagen vilje til at omgå eller ignorere regler – en adfærd der kunne grænse til korruption – for at fremme vækst og undgå negativ omtale. Virksomheden ignorerede blandt andet en igangværende undersøgelse fra Federal Trade Commission (FTC) vedrørende det tidligere databrud i 2014, undlod at implementere grundlæggende sikkerhedsforanstaltninger som multifaktor-autentificering, og fortsatte med at opbevare følsomme data ubeskyttet på cloud-lagring-servere.

Afsløring 2017: Dara Khosrowshahi afslørede fortielsen

Først i november 2017, mere end et år efter selve databruddet, blev hændelsen offentligt kendt. Afsløringen kom, efter at Dara Khosrowshahi havde overtaget posten som CEO for Uber efter Travis Kalanick. Den nye ledelse iværksatte en intern undersøgelse, der hurtigt afdækkede omfanget af dæk-up'et. Dette førte til fyringen af flere nøglemedarbejdere, herunder Joe Sullivan, og en offentlig indrømmelse af både databruddet og den efterfølgende fortielse. Denne forsinkede offentliggørelse var et direkte brud på lovgivningen i næsten alle stater i USA, der kræver hurtig varsling ved databrud.

Retligt efterspil: Uber betaler bøde, Sullivan dømt

Konsekvenserne for Uber var alvorlige. I 2018 indgik virksomheden et historisk forlig med alle 50 amerikanske stater og District of Columbia. Aftalen resulterede i en bøde og erstatning på hele 148 millioner dollars – den største af sin art for et databrud på tværs af stater i USA. For stater som Texas betød det millionstore beløb, hvoraf en del gik direkte til de berørte chauffører som kompensation. Californien, hvor Uber har sit hovedsæde, lagde især vægt på, at Uber bevidst havde undladt at informere over 174.000 chauffører i staten, hvilket var et klart brud på delstatens love om identitetstyveri. Ud over de økonomiske sanktioner fik denne højprofil sag også strafferetlige konsekvenser. Joe Sullivan, Ubers tidligere sikkerhedschef, blev i 2022 under en retssag fundet skyldig af en føderal jury i at have forhindret en føderal undersøgelse og skjult et forbrydelsesforhold relateret til cyberkriminalitet. Anklagemyndigheden argumenterede med succes for, at hans brug af et "bug bounty"-program til at sløre betalingen til hackerne var en bevidst handling for at undgå regulatorisk opmærksomhed og skjule databruddet for FTC, som allerede undersøgte Uber. De to hackere, Brandon Glover og Vasile Mereacre, indrømmede deres rolle og samarbejdede med anklagemyndigheden mod Sullivan i bytte for mildere straffe. Federal Trade Commission (FTC) reviderede også sin tidligere aftale med Uber fra 2017 og pålagde nu strengere krav, herunder obligatorisk rapportering af fremtidige databrud inden for 30 dage, implementering af et omfattende compliance-program, uafhængige sikkerhedsaudits og løbende overvågning over en periode på 20 år, samt strengere adgangskontrol til cloud-lagring-baserede platforme.

Omkostninger: Trussel mod chauffører og mistet tillid

For de mange involverede havde databruddet og det efterfølgende dæk-up betydelige menneskelige omkostninger. De 600.000 chauffører, hvis kørekortnumre blev stjålet, stod over for en direkte trussel om identitetstyveri, en alvorlig risiko i USA. Mange chauffører udtrykte frustration over den manglende rettidige varsling fra Uber. Selvom virksomheden efterfølgende tilbød gratis kreditovervågning, kom hjælpen for sent for nogle. Brugerne, hvis personlige oplysninger som telefonnumre og e-mails blev lækket, oplevede dette som en alvorlig krænkelse af privatlivets fred, selvom kreditkortoplysninger var sikre. Flere rapporterede efterfølgende en stigning i phishing-forsøg, der udnyttede de lækkede kontaktoplysninger. Ubers forsinkede og mangelfulde kommunikation underminerede yderligere brugernes tillid til platformen, der opererer via internet. Denne højprofil sag udviklede sig til en regulær skandale med enorm mediedækning, ikke kun på grund af selve databruddet, men i høj grad på grund af Ubers uansvarlige håndtering og forsøg på bestikkelse af hackerne. Den negative omtale kom på et tidspunkt, hvor Uber i forvejen var plaget af en række andre skandaler, herunder anklager om sexchikane og uetisk forretningspraksis, hvilket forstærkede billedet af en virksomhed med en problematisk ledelse og kultur.

Tekniske svagheder: Usikret AWS og GitHub sårbarheder

På et teknisk niveau understregede Uber databruddet de iboende risici ved cloud-lagring, hvis ikke systemerne konfigureres korrekt og underkastes løbende overvågning. Ubers brug af Amazon Web Services S3 til at lagre ubeskyttede backup-filer uden ordentlig adgangskontrol blev fremhævet som en kritisk cybersikkerheds-fejl. Sagen har bidraget til et øget fokus i tech-branchen på automatiseret adgangskontrol, regelmæssige sikkerhedsaudits, og brugen af værktøjer, der forhindrer utilsigtede lækager af følsom information i kildekode. Sagen belyste også svaghederne i Ubers udviklingskultur og brugen af platforme som GitHub, hvor manglende politikker for stærke adgangskoder, multifaktor-autentificering, og regelmæssig rotation af adgangsnøgler skabte sårbarheder, som blev udnyttet af cyberkriminelle. Mange tech-virksomheder har siden strammet deres sikkerhedsprotokoller markant og implementeret DevSecOps-praksisser for at integrere sikkerhed tidligt i udviklingsprocessen.

Ledelsens ansvar: Sullivans dom præcedens for ansvar

Endelig satte skandalen fokus på ledelsens moralske og juridiske ansvar i håndteringen af cybersikkerheds-incidenter. Retssagen og dommen mod Joe Sullivan skabte præcedens for, at C-suite ledere kan holdes strafferetligt ansvarlige for bevidst fortielse af databrud. Dette har ført til øget opmærksomhed på whistleblower-politikker, behovet for transparent rapportering til bestyrelser og et tættere samarbejde med myndigheder som FTC i tilfælde af cyberkriminalitet og databrud.

Lærdomme: Mod bedre etik og cybersikkerhed i tech

Uber Data Breach-sagen i 2016, en af de mest omtalte databrud-skandaler, var mere end blot et teknisk nedbrud; det var en dyb krise, der blottede et systemisk problem med virksomhedsetik, gennemsigtighed og regulatorisk compliance i tech-industrien, især i USA. De massive økonomiske konsekvenser, de juridiske efterspil mod ledelsen, og den varige skade på brandets omdømme understregede med al tydelighed de alvorlige følger af at nedprioritere brugeres cybersikkerhed og privatliv for at undgå dårlig omtale. Samtidig har denne højprofil sag tjent som en smertefuld, men nødvendig katalysator for forandring. Den har bidraget til strammere lovgivning som CCPA i Californien og haft indflydelse på standarder internationalt, såsom GDPR i Europa. Den har tvunget tech-virksomheder, der opererer på internet, til at genoverveje deres sikkerhedspraksis, deres interne kulturer og deres ansvar over for brugerne og samfundet. Selvom Uber-skandalen afslørede det værste i en aggressiv virksomhedskultur, potentielt med elementer af korruption, har lærdommene fra krisen sat et varigt præg på industrien og formet den fortsatte debat om teknologiens rolle, etik og ansvarlighed i en stadig mere digitaliseret verden.

Kilder:

Interesseret i komplekse sager om databrud og ledelsesansvar? Følg KrimiNyt for flere dybdegående afsløringer fra virkelighedens skyggesider.

S

Susanne Sperling

Admin

Redaktør

Share this post: