In 2016 werd taxi-app Uber gehackt, waarbij gegevens van 57 miljoen mensen op straat kwam te liggen. Dit lek werd verzwegen door Uber. Het bedrijf betaalde de hackers 100.000 euro om de gegevens te verwijderen en om de hack te geheim te houden. Persbureau Bloomberg maakte dit nieuws openbaar en Uber bevestigde het.
Gegevens gestolen
De hackers konden toegang krijgen tot de namen, e-mailadressen en telefoonnummers van 50 miljoen klanten en 7 miljoen taxichauffeurs. Van 600.000 van de taxichauffeurs werden ook rijbewijsgegevens gestolen. Volgens Uber is er nog geen indicatie dat er fraude gepleegd is met de gestolen gegevens. Chauffeurs hebben wel de aanbieding gekregen om hun creditcardgegevens te laten beschermen en monitoren. Volgens de huidige CEO van Uber worden alle accounts in de gaten gehouden en wordt er zo nodig fraudebescherming ingezet.
Ontslagen wegens het verzwijgen
De CEO van Uber zegt dat dit incident nooit had mogen gebeuren en dat het bedrijf zal leren van zijn fouten. De beveiligingsbaas en zijn tweede man zijn ontslagen vanwege het verzwijgen van het lek. Er is een onderzoek gestart naar het incident door de procureur-generaal van de staat New York.
Update (25 juli 2022): Uber heeft een schikking getroffen met het Amerikaanse ministerie van Justitie. In een persverklaring erkent het taxibedrijf dat het geprobeerd heeft om het datalek te verbergen voor de Federal Trade Commission (FTC). Het nieuwe managementteam van Uber meldde in 2016 het lek alsnog publiekelijk en stelde direct een onderzoek in naar het voorval instelde.
Verder schrijft het ministerie dat het taxibedrijf “aanzienlijke middelen” heeft geïnvesteerd om juridische en beveiligingsmaatregelen te verbeteren. Daarnaast heeft Uber ermee ingestemd om de komende twintig jaar een uitgebreid privacyprogramma te handhaven en ieder incident met klantgegevens te melden bij de FTC. Uber belooft tevens volledig mee te werken aan het overheidsonderzoek dat nog altijd loopt naar de kwestie.
Tot slot heeft het bedrijf een schikking getroffen met de procureurs-generaal van alle staten. Daarbij is een bedrag van 148 miljoen dollar gemoeid. Dat geldt wordt onder meer gebruikt om een bedrijfsintegriteitsprogramma en een protocol voor incidentrespons op te zetten. Dat was voor het ministerie van Justitie reden om Uber niet langer strafrechtelijk te vervolgen.
Update (6 oktober 2022): een federale jury heeft Joseph Sullivan, de voormalige Chief Security Officer (CSO) bij Uber, veroordeeld voor zijn poging om het datalek in de doofpot te stoppen. Hij verzweeg het incident voor de Federal Trade Commission (FTC) en gaf zijn medewerkers de instructie om het lek geheim te houden.
Sullivan probeerde de kwestie met de hackers af te handelen door hen een Non-Disclosure Agreement (NDA) te laten ondertekenen. Als de daders niets over het datalek zouden zeggen en alle gestolen gegevens zouden vernietigen, dan zou de CSO hen een bedrag van 100.000 dollar in Bitcoin betalen. Toen de nieuwe directeur aantrad en vragen stelde over het lek, loog Sullivan tegen hem om niets over de omvang te onthullen. Ook gaf hij valse verklaringen af over de betaling aan de hackers.
Een jury heeft de voormalige beveiligingsmedewerker veroordeeld voor het opzettelijk verzwijgen van het datalek en belemmering van de rechtsgang. Sullivan riskeert een gevangenisstraf die kan oplopen tot acht jaar. De strafmaat wordt op een later tijdstip bekendgemaakt, zo zegt het Amerikaanse ministerie van Justitie.
