Sicherheitslücke: Sensible Daten von 200.000 Lieferdienst-Kunden auslesbar

(0 Bewertungen, 0 von 5)

Namen, Adressen, Telefonnummern und sogar Fotos von Hauseingängen und Klingelschildern: Über die App des Berliner Start-up-Unternehmens „Gorillas“ konnten sich Cyberkriminelle bis vor Kurzem problemlos mit Daten versorgen. Mittlerweile hat der Lieferdienst den Zugang geschlossen und Kunden informiert – allerdings nicht über das gesamte Ausmaß des Datenlecks.

Anzeige

Fotos von Haustür und Klingelschild

Entdeckt hat das Sicherheitsproblem das Hacker-Team von „Zerforschung“ aus dem Umfeld des Chaos Computer Clubs. Die IT-Experten untersuchten die App, die Nutzer zum Ordern bei „Gorillas“ auf ihr Smartphone herunterladen müssen. Ohne ein Passwort zu kennen oder andere Sicherheitshürden zu überwinden, erlangten sie Zugriff auf rund eine Million Bestellungen von 200.000 Kunden. Dazu gehörten zunächst Name, E-Mail und Zustelladresse, außerdem Anzahl, Art und Preis der gelieferten Produkte. Auch die Ablaufdaten von Kreditkarten waren gespeichert. In einigen Fällen hatten die Fahrer zusätzlich Fotos von Haustüren und Klingelschildern hinterlegt. Dass derartige Aufnahmen überhaupt angefertigt werden, erfuhren die Kunden nicht.

 

Betrugs-Mails im Namen des Zustelldienstes

Nicht nur die Käufer waren von dem Datenleck betroffen. Zu jeder Bestellung fanden sich in der App auch Name und Telefonnummer eines Mitarbeiters, der die Lieferung gepackt oder zugestellt hatte. Die verwendete Software erlaubte den Experten vom Team „Zerforschung“ außerdem, authentisch aussehende E-Mails im Namen von „Gorillas“ zu versenden. Was den Hackern gelang, wäre auch für findige Betrüger möglich gewesen: Das Erstellen täuschend echter Mails, in denen „Gorillas“-Kunden Probleme bei der Abrechnung vorgegaukelt werden. Die detaillierten Angaben über eine konkrete Bestellung und das Ablaufdatum der Kreditkarte würden keine Zweifel an der Authentizität aufkommen lassen. Der Forderung einer erneuten Zahlung an eine beliebige Bankverbindung würden die getäuschten Kunden höchstwahrscheinlich nachkommen.

 

Fazit

Die Ergebnisse ihrer Untersuchung hat „Zerforschung“ unmittelbar an das Computer Emergency Response Team (kurz: CERT) beim Bundesamt für Sicherheit in der Informationstechnik übermittelt. Nach einer weiteren Überprüfung durch das CERT hat der Zustelldienst mittlerweile die Sicherheitslücke geschlossen. Auch Kunden und Mitarbeiter des Unternehmens wurden informiert. Allerdings nicht in vollem Umfang, wie das Team “Zerforschung” kritisiert: Über die Art der offen einsehbaren Daten habe man keine Angaben gemacht. Auch die Fotos der Klingelschilder seien in der Informationsmail nicht erwähnt worden.

Anzeige
Sagen Sie uns Ihre Meinung zum Thema.
Captcha Aktualisieren
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
VLC Media Player: Behörden warnen vor Risiko durch Sicherheitslücke Der Media Player von VLC gehört zu den wohl beliebtesten Mediaplayern – und zwar ganz unabhängig vom jeweiligen Betriebssystem. Ob Windows, Linux oder MacOS: Us...
Weiterlesen...
Datenschutz: Verkehrsüberwachung mittels „Section Control“ ist zulässig Ab sofort können auf der Bundesstraße 6 in Niedersachsen wieder Kennzeichen zur Geschwindigkeitsmessung gespeichert werden. Das Niedersächsische Oberverwaltungs...
Weiterlesen...
Cookies: EuGH entscheidet über Opt-In-Pflicht Um User auf die Verwendung von Cookies hinzuweisen, setzen Webseitenbetreiber derzeit auf eine einfache Einblendung. Nutzer müssen diese jedoch nicht aktiv per ...
Weiterlesen...
Mangelnder Datenschutz bei Zoom: Das sind die Folgen Seit dem Beginn der Corona-Restriktionen nutzen viele Unternehmen das Videokonferenz-Tool Zoom. Die tägliche Nutzerzahl stieg von 10 Millionen im Dezember auf a...
Weiterlesen...
Digitaler Impfnachweis: Schweiz startet mit schweren Sicherheitslücken Der Kampf gegen die weltweite Covid 19-Pandemie findet an mehreren Fronten statt. Während in Deutschland vor allem das Infektionsschutzgesetz mit den entspreche...
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support