Sicherheitslücke: Sensible Daten von 200.000 Lieferdienst-Kunden auslesbar

(0 Bewertungen, 0 von 5)

Namen, Adressen, Telefonnummern und sogar Fotos von Hauseingängen und Klingelschildern: Über die App des Berliner Start-up-Unternehmens „Gorillas“ konnten sich Cyberkriminelle bis vor Kurzem problemlos mit Daten versorgen. Mittlerweile hat der Lieferdienst den Zugang geschlossen und Kunden informiert – allerdings nicht über das gesamte Ausmaß des Datenlecks.

Anzeige

Fotos von Haustür und Klingelschild

Entdeckt hat das Sicherheitsproblem das Hacker-Team von „Zerforschung“ aus dem Umfeld des Chaos Computer Clubs. Die IT-Experten untersuchten die App, die Nutzer zum Ordern bei „Gorillas“ auf ihr Smartphone herunterladen müssen. Ohne ein Passwort zu kennen oder andere Sicherheitshürden zu überwinden, erlangten sie Zugriff auf rund eine Million Bestellungen von 200.000 Kunden. Dazu gehörten zunächst Name, E-Mail und Zustelladresse, außerdem Anzahl, Art und Preis der gelieferten Produkte. Auch die Ablaufdaten von Kreditkarten waren gespeichert. In einigen Fällen hatten die Fahrer zusätzlich Fotos von Haustüren und Klingelschildern hinterlegt. Dass derartige Aufnahmen überhaupt angefertigt werden, erfuhren die Kunden nicht.

 

Betrugs-Mails im Namen des Zustelldienstes

Nicht nur die Käufer waren von dem Datenleck betroffen. Zu jeder Bestellung fanden sich in der App auch Name und Telefonnummer eines Mitarbeiters, der die Lieferung gepackt oder zugestellt hatte. Die verwendete Software erlaubte den Experten vom Team „Zerforschung“ außerdem, authentisch aussehende E-Mails im Namen von „Gorillas“ zu versenden. Was den Hackern gelang, wäre auch für findige Betrüger möglich gewesen: Das Erstellen täuschend echter Mails, in denen „Gorillas“-Kunden Probleme bei der Abrechnung vorgegaukelt werden. Die detaillierten Angaben über eine konkrete Bestellung und das Ablaufdatum der Kreditkarte würden keine Zweifel an der Authentizität aufkommen lassen. Der Forderung einer erneuten Zahlung an eine beliebige Bankverbindung würden die getäuschten Kunden höchstwahrscheinlich nachkommen.

 

Fazit

Die Ergebnisse ihrer Untersuchung hat „Zerforschung“ unmittelbar an das Computer Emergency Response Team (kurz: CERT) beim Bundesamt für Sicherheit in der Informationstechnik übermittelt. Nach einer weiteren Überprüfung durch das CERT hat der Zustelldienst mittlerweile die Sicherheitslücke geschlossen. Auch Kunden und Mitarbeiter des Unternehmens wurden informiert. Allerdings nicht in vollem Umfang, wie das Team “Zerforschung” kritisiert: Über die Art der offen einsehbaren Daten habe man keine Angaben gemacht. Auch die Fotos der Klingelschilder seien in der Informationsmail nicht erwähnt worden.

Anzeige

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Datenschutz: Google will weniger Kundendaten in Werbeauktionen zeigen
Weiterlesen...
eID: Noch in diesem Jahr kommt der Perso aufs Handy
Weiterlesen...
Clubhouse: Hamburger Datenschutz-Beauftragter fordert Aufklärung
Weiterlesen...
Datenschutz und Homeoffice: Mehr Verfahren durch Corona
Weiterlesen...
Sicherheit und Datenschutz: So hat Zoom nachgebessert
Weiterlesen...
DSGVO: Lagerung von Patientenakten ist keine Datenverarbeitung
Weiterlesen...
DSGVO: Wann beginnt die Frist für eine Auskunftserteilung?
Weiterlesen...
Apples Privatsphäre-Offensive: EU-Kommissarin warnt vor Sonderrechten
Weiterlesen...
Cookie-Banner: Millionen-Bußgelder für Amazon und Google in Frankreich
Weiterlesen...
Tracking: Landesbeauftragte prüfen Cookie-Banner von Medienseiten
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht hat sich 2018 vollständig geändert. Haben Sie die DSGVO umgesetzt? Sichern Sie jetzt Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support