D04 — Uber God View: Wewnętrzne narzędzie do śledzenia dziennikarzy i klientów

Kategoria: Nadużywanie dostępu / tracking journalistów / FTC ugoda z regulatorem Firma/firmy: Uber Technologies Lata: ~2013–2014 (praktyka), listopad 2014 (ujawnienie), 2017–2018 (FTC ugoda z regulatorem) Status: Zakończone — FTC ugoda z regulatorem z 20-letnim monitoringiem; NY AG ugoda 2016 ID karty: D04

Metadane

Pole	Wartość
Kraj/region	USA federalne i stanowe (Nowy Jork)
Rok ujawnienia	17 i 19 listopada 2014 (BuzzFeed News)
Lata trwania praktyki	~2013–2014 (God View jako narzędzie wewnętrzne)
Łączna kara	Brak kary finansowej (FTC); 20-letni ugoda z regulatorem z audytami
Waluta	—
Podstawa prawna	FTC Act § 5, NY state consumer protection
Sygnalista/odkrywca	Johana Bhuiyan, Ben Smith (BuzzFeed News)
Liczba poszkodowanych	Dziennikarze, użytkownicy Uber (brak skali)
Status (na dziś)	Uber w procesie reform pod nadzorem FTC (2018–2038)

W skrócie

17 listopada 2014 — BuzzFeed News, Ben Smith (redaktor naczelny) i Johana Bhuiyan (dziennikarka) opublikowali serię artykułów, które wywołały pierwszy wielki skandal Ubera. Zaczęło się od wydarzenia: Bhuiyan zamówiła Ubera, żeby spotkać się z Josh Mohrer (regional general manager Uber NYC). Gdy przyjechała, Mohrer powiedział: “I was tracking you.” Podczas kolacji dla dziennikarzy, Emil Michael (SVP Business, #2 w Uber) zasugerował w rozmowie off-record (później opublikowanej), że Uber mógłby zatrudnić “opposition researchers” do kopania brudów na dziennikarzy krytycznych wobec Ubera — konkretnie na Sarah Lacy z PandoDaily, która pisała o “asshole culture” firmy.

BuzzFeed ujawnił też istnienie narzędzia “God View” (wewnętrznie: “Heaven View”) — interfejsu używanego przez pracowników Uber, który pokazywał widok z lotu ptaka na wszystkich aktywnych klientów i kierowców w danym mieście, z pełnymi nazwiskami, trasami, historią przejazdów. God View był dostępny dla dosłownie każdego pracownika — od inżynierów po recruiterów, od marketingu po BI.

Skandal eskalował. Eric Schneiderman (NY Attorney General) wszczął śledztwo. Travis Kalanick (CEO) wydał oświadczenie, że God View jest “używany tylko w ograniczony sposób” (fałszywe).

6 stycznia 2016 — NY AG ogłasza ugodę: Uber płaci 20 000 USD kary (symboliczna kwota za naruszenie NY breach notification law z 2014 — ujawnienie innego incydentu), ale zgadza się na:

Szyfrowanie lokalizacji pasażerów
Wprowadzenie MFA
Ograniczenie dostępu do God View
Coroczny audyt prywatności

15 sierpnia 2017 — FTC wszczyna pierwsze ugoda z regulatorem przeciw Uberowi za wprowadzanie w błąd (“zapewnialiśmy zabezpieczenia… niekoniecznie”). Brak kary finansowej, ale 20-letni monitoring.

Kwiecień 2018 — FTC wycofuje pierwsze ugoda z regulatorem i zawiera nowe, szersze — obejmujące również wyciek 57 mln (2016, nieujawniony) → sprawa D06. Nowy ugoda z regulatorem: kara 148 mln USD łącznie z ugodami stanowymi.

God View jako symbol “Bro culture” Uber stał się przedmiotem wielu książek (w tym “Super Pumped: The Battle for Uber” Mike’a Isaaca 2019). Sprawa D04 była pierwszym wielkim korporacyjnym skandalem prywatności w erze smartfonów — wzorcowym przypadkiem nadużycia wewnętrznego dostępu do danych.

Oś czasu

2009 — Uber (wtedy UberCab) założony w San Francisco przez Travisa Kalanicka i Garreta Campa.
2010–2013 — ekspansja, rozwój aplikacji. Wewnętrzne narzędzia, w tym God View.
~2011–2014 — God View używany przez pracowników Uber bez efektywnej kontroli dostępu.
2013–2014 — ujawnione przypadki użycia God View: tracking dziennikarzy, celebrytów, szpiegowanie ex-partnerów przez pracowników.
Październik 2014 — kolacja Uber z dziennikarzami w Waverly Inn (NYC). Emil Michael wypowiada komentarze o „opposition researchers” badających Sarah Lacy.
Początek listopada 2014 („early November”) — Bhuiyan zamawia Uber do siedziby; Josh Mohrer przyznaje, że ją śledził.
17 listopada 2014 — Ben Smith, BuzzFeed: „Uber Executive Suggests Digging Up Dirt On Journalists”. Kolacja ujawniona.
19 listopada 2014 — Johana Bhuiyan, Charlie Warzel, BuzzFeed: „‘God View’: Uber Investigates Its Top New York Executive For Privacy Violations”. Mohrer i God View.
19 listopada 2014 — Uber wypowiada się publicznie, po raz pierwszy publikuje politykę prywatności (wcześniej nie miała).
Listopad 2014 — Eric Schneiderman (NY AG) wszczyna śledztwo (dokładna data nie jest publicznie potwierdzona).
Luty 2015 — Uber ujawnia, że w 2014 miało miejsce wycieku 50 000 kierowców (ale nie 2016).
2015 — dochodzenia kontynuowane.
6 stycznia 2016 — NY AG ugoda: 20 000 USD za 2014 breach notification + zobowiązania prywatnościowe.
2016 — Uber doświadcza kolejnego, większego wycieku (57 mln rekordów) — ukrywany → D06.
15 sierpnia 2017 — FTC ugoda z regulatorem (pierwsza wersja).
Listopad 2017 — publiczne ujawnienie wycieku 57 mln rekordów (ukrytego od 2016) → D06.
12 kwietnia 2018 — FTC wycofuje pierwszy ugoda z regulatorem, zawiera nowy — obejmujący również wyciek 57 mln.
Wrzesień 2018 — wspólna ugoda 50 stanów USA: 148 mln USD.
2018–2022 — reformy Uber pod nowym CEO Darą Khosrowshahi (od 2017).
2038 — przewidywany koniec 20-letniego ugoda z regulatorem.

Mechanizm

Jak działał God View

Interfejs wewnętrzny Uber o nazwie “God View” (niektóre wersje: “Heaven View”):

Mapa miasta z wszystkimi aktywnymi pojazdami Uber w czasie rzeczywistym (widok z lotu ptaka)
Wszyscy aktywni klienci — z pełnymi nazwiskami, telefonami, adresami
Historia przejazdów każdego klienta — skąd-dokąd, kiedy, cena
Kierowca — kto wiezie, ile razy, oceny
Możliwość wyszukiwania po nazwisku, numerze telefonu, emailu

Kto miał dostęp (do 2014):

Inżynierowie
Account managers
Recruiterzy (tak — także ci rekrutujący kierowców)
Marketing
BI (Business Intelligence)
Operations managers
Pracownicy regionalni (jak Josh Mohrer w NYC)

Efektywnie: setki, jeśli nie tysiące pracowników miało dostęp do pełnych danych lokalizacyjnych wszystkich klientów.

Udokumentowane nadużycia

Sarah Lacy / Emil Michael case: Emil Michael na kolacji w Waverly Inn zasugerował, że Uber mógłby zatrudnić “opposition researchers” do kopania brudów na dziennikarzy. Konkretnie wspomniał Sarah Lacy — krytykowała “asshole culture” Uber.

Johana Bhuiyan / Josh Mohrer case: Mohrer (general manager Uber NYC) śledził Bhuiyan przed jej przybyciem do biura. Kiedy przyszła, powiedział “I was tracking you”. Podobne przypadki zgłaszane przez innych dziennikarzy.

Celebrities tracking: Peter Sims (venture capitalist) w 2014 ujawnił na blogu, że pracownicy Uber w Chicago używali God View do pokazywania jego pozycji podczas imprezy, na której byli. Bez zgody.

Ex-partnerzy / stalking: Raporty wewnętrzne Uber (ujawnione później) pokazują, że pracownicy wielokrotnie używali God View do śledzenia byłych dziewczyn/chłopaków. Wielu zostało zwolnionych, ale dopiero po pokazie publicznym.

Dlaczego to było możliwe

Uber w 2014 nie miał:

RBAC (Role-Based Access Control) — każdy miał pełny dostęp
Access logging — brak logów kto, co, kiedy przeglądał
MFA — brak wieloskładnikowej autoryzacji
Audit trails — brak ścieżki audytu

Kultura “move fast” prioritetyzowała rozwój nad bezpieczeństwem. God View był kluczowym narzędziem debugowania i obsługi klienta — więc był dany wszystkim.

Odkrycie

BuzzFeed — kluczowa rola

Ben Smith — wówczas redaktor naczelny BuzzFeed News. Przed założeniem własnego medium (Semafor, 2022) i publicznością w NYT. Zaproszony na kolację Uber w Waverly Inn, był świadkiem komentarzy Emila Michaela. Uznał je za off-record, ale później zdecydował opublikować — sytuacja była zbyt skandaliczna.

Johana Bhuiyan — dziennikarka tech BuzzFeed News, później Recode, obecnie Los Angeles Times i NY Times. Specjalizuje się w culture reporting Silicon Valley. Jej osobiste doświadczenie z Mohrerem stało się casusem przełomowym.

Charlie Warzel — współautor, obecnie Atlantic i własny newsletter.

Pierwsze publikacje

17 listopada 2014 — Ben Smith, „Uber Executive Suggests Digging Up Dirt On Journalists”, BuzzFeed News. URL: buzzfeed.com/bensmith/uber-executive-suggests-digging-up-dirt-on-journalists
19 listopada 2014 — Johana Bhuiyan, Charlie Warzel, „‘God View’: Uber Investigates Its Top New York Executive For Privacy Violations”, BuzzFeed News. URL: buzzfeed.com/johanabhuiyan/uber-is-investigating-its-top-new-york-executive-for-privacy
19 listopada 2014 — wiele follow-upów w NYT, Wired, Recode

Osoby kluczowe

Uber

Travis Kalanick — CEO Uber do czerwca 2017. Ikoniczny przedstawiciel “bro culture” tech. Zmuszony do rezygnacji po serii skandali w 2017.
Emil Michael — SVP Business Uber. #2 po Kalanicku. Autor niesławnych komentarzy o “opposition researchers”. Pozostał w Uber do 2017 (odszedł razem z falą).
Josh Mohrer — General Manager Uber NYC. Publicznie śledził Bhuiyan. Zwolniony po śledztwie NY AG.
Dara Khosrowshahi — CEO Uber od sierpnia 2017. Przedtem CEO Expedia. Reformatorzy.

Dziennikarze

Ben Smith — BuzzFeed News, później Semafor.
Johana Bhuiyan — główna odkrywczyni.
Charlie Warzel — współautor.
Sarah Lacy — PandoDaily, cel ataku Emila Michaela.
Mike Isaac — NYT, autor książki “Super Pumped: The Battle for Uber” (2019).
Kara Swisher — Recode, głęboka krytyka culture Uber.

Regulatorzy

Eric Schneiderman — NY Attorney General 2011–2018 (później rezygnacja po własnych skandalach). Prowadził śledztwo God View.
Edith Ramirez — chair FTC 2013–2017. Uruchomiła śledztwo 2016.
Joseph Simons — chair FTC 2018–2021. Zawarł drugi ugoda z regulatorem.

Reakcja firmy

Uber pod Kalanickiem (2014–2017)

Faza 1: zaprzeczanie (listopad 2014). Kalanick na Twitterze: “Emil’s comments at the recent dinner party were terrible and do not represent the company.” Emil Michael: “I’m sorry… These remarks were wrong no matter the circumstance or audience.”

Faza 2: politykowanie prywatności (listopad 2014). Uber po raz pierwszy publikuje politykę prywatności (wcześniej jej nie miał). Oświadczenie: “Access to customer and driver accounts is being closely monitored and audited.” FTC ustaliła później, że to było fałszywe — Uber nie monitorował skutecznie.

Faza 3: częściowe reformy (2015–2016). Wprowadzenie podstawowych zabezpieczeń God View. Ale wycieki 2014 i 2016 kryto.

Uber pod Khosrowshahi (2017+)

Reform era:

Travis Kalanick zwolniony czerwiec 2017
Khosrowshahi (z Expedia) przejmuje firmę
Nowy kodeks kultury („Cultural Norms”): integrity first
Reform CTO — Tony West (CLO Uber od listopada 2017), Chief Privacy Officer
Implementacja rekomendacji Holder Report (Eric Holder, były AG USA, przeprowadził review kultury Uber 2017)

Postępowanie prawne

Jurysdykcje

USA federalne — FTC
USA stanowe — NY AG Schneiderman (2016); później 50 stanów łącznie (2018)

Podstawa prawna

FTC Act § 5 — unfair/deceptive practices
NY Executive Law — breach notification
Stanowe prawa konsumenckie

Kluczowe etapy

Data	Etap
17 i 19 listopada 2014	BuzzFeed publikacje
Listopad 2014	NY AG wszczyna (dokładna data nie jest publicznie potwierdzona)
6 stycznia 2016	NY AG ugoda 20 000 USD
15 sierpnia 2017	FTC pierwszy ugoda z regulatorem
12 kwietnia 2018	FTC drugi ugoda z regulatorem (poszerzony)
Wrzesień 2018	50 stanów 148 mln USD (obejmuje też D06)

Kary i ugody

Data	Organ	Kwota	Jurysdykcja	Podstawa
6 stycznia 2016	NY AG	20 000 USD	Nowy Jork	Breach notification 2014
12 kwietnia 2018	FTC	0 USD (ugoda z regulatorem, 20 lat)	USA federalne	FTC Act § 5
Wrzesień 2018	50 stanów	148 000 000 USD (obejmuje też D06)	USA stanowe	Consumer protection

Precedensy i implikacje

Pierwszy FTC ugoda z regulatorem dla unicorn app company — precedens.
20-letni audyt — standardowo dla poważnych naruszeń (Microsoft 2002, Google 2011, Facebook 2011).
Whistleblowing dziennikarski — pokazanie, że jeden nieuważny komentarz dyrektora może uruchomić lawinę regulacyjną.

Pozwy zbiorowe

Minimal. Sprawa D04 została pochłonięta przez szerszy skandal Uber 2017 i późniejsze sprawy.

Wnioski dla obywateli

Co to dla mnie znaczy?

Jeśli używasz Ubera (lub analogicznej aplikacji — Bolt, Lyft, FreeNow), twoja lokalizacja, historia przejazdów, kontakty są w bazie firmy. Historia pokazuje, że nawet firmy deklarujące zabezpieczenia mogą mieć niedostateczną kontrolę dostępu wewnętrznego. Dziś Uber jest znacznie lepszy (po 20 latach FTC nadzoru), ale problem jest systemowy.

Jak chronić się?

Ogranicz dane w aplikacji — fałszywe imię nazwisko, alternatywny numer telefonu (jeśli opłatę można ukryć).
Usuwaj historię przejazdów regularnie w aplikacji (Uber → Menu → Settings → Privacy → Manage Your Data).
Nie łącz Uber z Facebook (dane profil).
Uber Family / Uber for Business — osobne rachunki dla pracy i prywatności.

Uwaga dla mediatorów, prawników, ofiar przemocy

Ofiary stalkingu po rozwodzie — historia Uber może być używana przez byłego partnera (jeśli ma dostęp do konta). Zmień hasło, włącz MFA.
Dziennikarze, dissidenci — rozważ Uber na inne konto niż profesjonalne, inne numer telefonu.
W sprawach rodzinnych — historia przejazdów Uber może być dowodem (gdzie ktoś był, kiedy).

Ciekawostki

“I was tracking you” — cytat Josh Mohrera do Bhuiyan stał się idiomem tech journalism. Symbolizuje nadużycie wewnętrznego dostępu do danych klientów.
Emil Michael w Waverly Inn — kolacja, na której wszystko się zaczęło. Michael myślał, że rozmowa jest off-record. Ben Smith przemyślał i opublikował. Michael już nigdy nie odzyskał reputacji w tech.
Sarah Lacy — oryginalna cel ataku Michaela. Po skandale napisała książkę “A Uterus Is A Feature, Not A Bug” (2017) o kulturze Silicon Valley.
Johana Bhuiyan karierа — po Uber skandale stała się jedną z najbardziej szanowanych dziennikarek tech w USA. LA Times, NYT. Jej osobiste doświadczenie stało się źródłem mocy.
“Heaven View” — alternatywna nazwa God View w niektórych wewnętrznych dokumentach. Ironia: nadzór “z niebios”.
Peter Sims / Chicago party — venture capitalist Peter Sims publicznie opisał w 2014, że pracownicy Uber w Chicago pokazali jego realną pozycję innym gościom imprezy — bez zgody. Jeden z pierwszych publicznych przypadków nadużycia God View.
Stalking ex-partnerów — wewnętrzne dokumenty pokazywały, że wielu pracowników używało God View do śledzenia byłych partnerów. Dokumenty dot. ukrytego programu dyscyplinarnego ujawnione w 2017.
Holder Report (2017) — Eric Holder, były Attorney General USA (pod Obama), w 2017 przeprowadził niezależne review kultury Uber po serii skandali. 47 rekomendacji. Travis Kalanick zmuszony do rezygnacji po tym raporcie.
Dara Khosrowshahi reform — Nowy CEO zmienił kulturę firmy. 2018 oświadczenie: “We will do the right thing, period.” — mocne zobowiązanie.
Mike Isaac — “Super Pumped” (2019) — książka NYT, pulitzer-nominowany reportaż. Klasyk literatury tech. W 2022 serial Showtime.
Polska rola — Uber w Polsce od 2014 roku, konkurencja z Bolt (Estonia) i FreeNow (Daimler). Polskie UODO nie prowadziło osobnego śledztwa dot. God View. Dane polskich użytkowników były jednak w globalnej bazie Uber.
“Boober” — niesławny wewnętrzny projekt Uber (2014) analizujący “Rides of Glory” — wieczorne przejazdy do domów one-night stands. Ujawnione w blog post na Uber blog w 2012, szybko usunięte. Pokazał zdrowy brak szacunku dla danych osobowych.
20-letni monitoring FTC (do 2038) — Uber jest pod audytem prywatnościowym prawie każdego roku. To jeden z najdłuższych monitoringów FTC w historii.

Źródła

Ben Smith, “Uber Executive Suggests Digging Up Dirt On Journalists”, BuzzFeed News, 17 listopada 2014. URL: https://www.buzzfeed.com/bensmith/uber-executive-suggests-digging-up-dirt-on-journalists (dostęp: 2026-04-17)
Johana Bhuiyan, Charlie Warzel, „‘God View’: Uber Investigates Its Top New York Executive For Privacy Violations”, BuzzFeed News, 19 listopada 2014. URL: https://www.buzzfeed.com/johanabhuiyan/uber-is-investigating-its-top-new-york-executive-for-privacy (dostęp: 2026-04-17)
New York State Attorney General, “A.G. Schneiderman Announces Settlement with Uber to Enhance Rider Privacy”, 6 stycznia 2016.
Federal Trade Commission, “Uber Settles FTC Allegations that It Made Deceptive Privacy and Data Security Claims”, 15 sierpnia 2017.
FTC, “In the Matter of Uber Technologies Inc.”, File No. 152-3054, 12 kwietnia 2018.
50 states multi-state settlement with Uber, wrzesień 2018 — 148 mln USD.
Eric Holder, “Holder Report on Uber’s Workplace Culture”, czerwiec 2017.
Mike Isaac, Super Pumped: The Battle for Uber, W.W. Norton, 2019.
Sarah Lacy, A Uterus Is A Feature, Not A Bug, HarperBusiness, 2017.
Kara Swisher, liczne artykuły Recode, 2014–2017.
Peter Sims, blog post o Chicago incident, 2014.
Travis Kalanick publiczne oświadczenia, Twitter, 2014.
Emil Michael, oświadczenie po skandalu, listopad 2014.
EPIC (Electronic Privacy Information Center), komentarze do FTC settlement.
Dara Khosrowshahi, listy do pracowników Uber, 2017–2018.

Ostatnia aktualizacja: 2026-04-17 Karta w bazie: D04_uber_god_view.md