Gehackt Uber: klanten hoeven niets te doen

"Het gaat hierbij onder andere om de volgende passagiersinformatie: namen, e‑mailadressen en mobiele telefoonnummers van accounts over de hele wereld", meldt Uber nu. "Dit is een schatting en geen definitief aantal omdat de informatie die we via de app of onze website ontvangen en die we gebruiken om een landcode toe te wijzen, soms niet overeenkomt met het land waar de persoon in kwestie daadwerkelijk woont."

'Geen bewijs gevonden'

Het Amerikaanse bedrijf houdt met de formulering van 'onder andere' nog een slag om de arm, maar weet wel te melden dat er geen creditcard- en bankinformatie is buitgemaakt. "Onze externe forensische experts hebben geen bewijs gevonden dat er ritlocatiegeschiedenissen, creditcardnummers, bankrekeningnummers of geboortedata zijn gedownload."

Ondanks de omvang van de datadiefstal en het feit dat dit een jaar lang door Uber is verzwegen, stelt het bedrijf nu dat passagiers zelf geen actie hoeven te ondernemen om mogelijk misbruik van hun persoonlijke informatie te voorkomen of in te perken. "Er is geen bewijs voor fraude of misbruik dat verband houdt met dit incident. We houden de getroffen accounts in de gaten en deze zullen worden voorzien van extra fraudebescherming."

Zwijggeld betaald

Daarnaast meldt Uber dat het na de hack, van oktober 2016, "meteen stappen heeft ondernomen om de informatie te beschermen, verdere onbevoegde toegang te voorkomen en onze gegevensbeveiliging te verbeteren." De toenmalige CSO heeft eerst echter de datadieven 100.000 dollar betaald, om de hack stil te houden en de buit te vernietigen. Deze afkoopsom is overgemaakt via het bugpremieprogramma, dat echter bedoeld is om verantwoorde melding van kwetsbaarheden te belonen.