Det går inte bra för Uber.

Eller rättare sagt gick det inte bra – nu går det ännu sämre.

Uber har varit med om dataintrång förut. År 2014 lyckades någon komma åt namnen och körkortsnumrorna på över 100.000 förare. Men, i stil med Yahoo som ständigt höjde sina egna rekord gällande dataintrång, har det nu blivit klart att det år 2016 stulits information om hela 57 miljoner Uber förar- och kundkonton.

I en New York Times artikel berättas att två personer låg bakom stölden, som skett från en tredje parts server (GitHub). Och att bland den stulna informationen fanns namn, e-postaddresser och telefonnumror.

Hittills är det ännu rätt standard föda: dataintrång börjar (beklagligt nog) vara dagligvara. Men hur Uber försökte hanskas med situationen är vad som gör historien anmärkningsvärd. (Men inte på ett sådant där ”Oj vad fint!” sätt.)

Ubers förare är bland de drabbade. (Bild: Uber)

Uber betalade lösensumma – men ljög om det

Skurkarna hade kontaktat Uber och krävt $100.000 i lösen för att radera informationen.

Uber gick med på det och affären sköttes (enligt t.ex. New York Times) av Ubers säkerhetschef Joe Sullivan och f.d. grande hefe (närmare sagt ”chief executive”) Travis Kalanick. (Säkerhetschefen har sedermera fått sparken. Kalanick likaså, fast han sitter ännu i Ubers styrelse.)

Men sedan tyckte de på Uber att det var dags att försöka försköna historien lite.

Uber kontaktade skurkarna och fick dem att skriva på en så kallad non-disclosure agreement. Alltså ett avtal om att skurkarna inte fick berätta om fallet åt någon. Sedan skrev de in lösensumman som pris för en så kallad ”bug bounty”.

En bug bounty är ett belöningsprogram. Avsikten är att belöna sådana som hittar ”buggar” i t.ex. webbsidor eller produkter. Som typ att man hittar säkerhetsbrister i ett företags webbsidor. En bug bounty är utan vidare en mycket bra sak att ha. Men en bug bounty är såklart inte jämförbart med en lösensumma.

Det är inte en felfri liknelse, men situationen är jämförbar med att Uber skulle ha lämnat fönstret öppet och blivit rånade. Och sedan betalat en lösensumma åt skurkarna för att få stöldgodset tillbaka. Men bokfört utgiften som en ”belöning” för att någon lyckats uppmärksamma dem om säkerhetsbrister med deras fönster.

Vad nu då, Uber?

Ubers (nya) VD:s uttalande om fallet hittar ni här. Förkortad version för de som har annat att göra med sin dag: ”Ojdå – det här visste jag inte om. Så borde vi inte ha gjort. Vi ska bli bättre.”

Dataintrång, diskriminering, fiffel, med mera. De goda nyheterna för VD:n är väl att det blir utmanande att göra situationen hemskt mycket sämre.

Vill du läsa mera om fallet, se t.ex. Wired, New York Times eller Bloomberg.

Uber