Es gehe um Namen, E-Mail-Adressen und Telefonnummern von Nutzern rund um die Welt, erklärte Uber am späten Dienstag. Ausserdem verschafften sich die Angreifer im Oktober 2016 auch Zugriff auf Daten von etwa sieben Millionen Uber-Fahrern. Bei der Attacke seien nach bisherigen Erkenntnissen aber keine Kreditkarten-Daten oder Informationen zu Fahrten gestohlen worden, betonte die Firma.

Statt Behörden oder Betroffene zu informieren, bezahlte Uber den Hackern 100'000 Dollar, damit sie die gestohlenen Daten vernichteten, berichteten der Finanznachrichtendienst Bloomberg und die "New York Times".

Brenzlich für Uber könnte nun werden, dass die Hacker sich auch Zugriff auf Namen und Fahrerschein-Nummern von rund 600'000 Fahrern in den USA verschaffen konnten. Fahrpermis werden in den USA oft als Ausweisdokumente verwendet, was die Daten für Betrüger wertvoll machen kann.

Die New Yorker Staatsanwaltschaft leitete ein Ermittlungsverfahren zum Hacker-Angriff ein. In Grossbritannien zeigte sich die Datenschutz-Aufsicht "extrem besorgt" und startete ein eigenes Verfahren. Ein Mann aus Los Angeles klagte zudem Uber unter anderem wegen mangelndem Datenschutz an; er will eine Sammelklage auf die Beine stellen.

Zwei Manager mussten gehen

Uber gehe davon aus, dass die Informationen nicht verwendet worden seien, teilte das Unternehmen mit. Die Hacker seien im Oktober 2016 durch eine schlecht geschützte Datenbank in einem Cloud-Dienst an die Daten gekommen. Uber-Sicherheitschef Joe Sullivan und ein weiterer Manager verloren ihre Jobs. Ein ehemaliger Chefjurist des US-Geheimdienstes NSA, Matt Olsen, soll die Sicherheit des Unternehmens neu gestalten.

Der neue Uber-Chef Dara Khosrowshahi erklärte am Dienstag zum Hackerangriff und dem nachfolgenden Schweigen: "Nichts davon hätte passieren dürfen und wir werden nicht nach Ausreden dafür suchen." Uber ändere nun die Art, wie es sein Geschäft führe.

Uber werde den Betroffenen nun helfen, nach einem möglichen Missbrauch der gestohlenen Daten Ausschau zu halten, kündigte Khosrowshahi an. Zugleich erklärte er, Uber habe von den Hackern seinerzeit die Zusicherung erhalten, dass die gestohlenen Daten vernichtet worden seien.

Kalanick-Rückkehr wohl ausgeschlossen

Die Vertuschung wirft einen weiteren Schatten auf die Amtszeit des Mitgründers und langjährigen Uber-Chefs Travis Kalanick, die von vielen Skandalen um den aggressiv auftretenden Fahrdienst-Vermittler geprägt war. Uber hatte bei der rasanten internationalen Expansion in vielen Ländern gegen geltende Regeln verstossen.

Zuletzt sorgte auch eine Klage der Google-Schwesterfirma Waymo für Aufsehen, in der Uber der Einsatz gestohlener Roboterwagen-Technologie vorgeworfen wird. Eine Untersuchung zu Vorwürfen von Sexismus und Diskriminierung förderte massive Defizite im Management des Finanzierungsrunden mit bis zu 68 Milliarden Dollar bewerteten Unternehmens zu Tage.

Kalanick räumte im Sommer unter dem Druck von Investoren den Chefposten. Der Datenklau-Skandal könnte seine Ambitionen, irgendwann wieder an die Spitze zurückzukehren oder auch nur eine aktivere Rolle im Tagesgeschäft zu spielen, endgültig durchkreuzen.

Bereits früheren Hack verschwiegen

Uber war da bereits in Verhandlungen mit der Aufsichtsbehörde FTC wegen eines ähnlichen Vorfalls von Datenklau im Jahr 2014. Damals ging es um Daten über 50'000 Fahrer. Uber wurde vorgeworfen, die Betroffenen nicht rechtzeitig informiert zu haben. Am Ende kam Uber mit einer Strafe von 20'000 Dollar davon.

Was das Ausmass und dem Wert der gestohlenen Daten betrifft, verblasst der Uber-Hack neben anderen Fällen. So verschafften sich beim Wirtschaftsnachrichtendienst Equifax Unbekannte Zugriff auf die wichtigen Sozialversicherungsnummern von mehr als 40 Prozent der US-Bevölkerung. Und beim Internet-Konzern Yahoo waren 2013 Daten zu allen drei Milliarden Nutzer-Accounts gestohlen worden.