Zahlungsdaten, Passwörter...alles: Gearbest-Kundendaten offen im Netz

Von John Woll am 15.03.2019 14:21 Uhr
10 Kommentare
Der chinesische Online-Händler Gearbest soll laut Medienberichten seine Kundendaten nicht richtig absichern. Ein Sicherheitsforscher konnte sehr einfach auf mehrere Datenbanken zugreifen, die neben Namen, Adressen und Passwörtern auch Bestellhistorie und Zahlungsdaten enthielten. Gearbest hat bisher nicht auf die Berichte reagiert, die Lücken in der Kundendatenbank bestehen weiterhin.

Gearbest-Datenbanken mit weitreichenden Kundendaten sind für jeden einsehbar

Gearbest gehört zu den 250 der weltweit meistbesuchten Webseiten und ist ein echter Gigant im Internethandel. Wie Techcrunch berichtet, hatte der Sicherheits­forscher Noam Rotem mit einem Team von VPNMentor jetzt einen durchsuchbaren Elasticsearch-Server entdeckt, der "jede Woche Millionen von Einträgen leaked" - allesamt Kundendaten des Anbieters. Da der Server nicht mit einem Passwort geschützt ist, könnte prinzipiell jeder auf diese Daten zugreifen und sie durchsuchen.

Wie Rotem in seinem Bericht zu dem Datenleck ausführt, enthalten die frei zugänglichen Datensätze Namen, Adressen, Telefonnummern und Email-Adressen der Kunden. Darüber hinaus erlauben diese auch einen Rückschluss auf die gesamte Bestellhistorie. Zu guter Letzt waren auch Zahlungsdaten und Rechnungen in den offenen Datenbanken einsehbar "inklusive der bisher ausgegebenen Beträge". Techcrunch konnte bestätigen, dass die Datenbank genauen Aufschluss darüber zulässt, wann Kunden etwas gekauft hatten und an welche Adresse der Versand erfolgt war.

Nicht nur so ein Problemchen

Rotem betont, dass vor allem dieser Teil der Informationen für Kunden in bestimmten Ländern zu einem sehr ernsten Problem werden könnten. "Die offengelegten Daten könnten Kunden in einigen Teilen der Welt in Gefahr bringen, in denen die Meinungsfreiheit eingeschränkt ist", so der Forscher. Unter derselben IP-Adresse konnte Rotem dann auch noch Zugriff auf ein Web-basiertes Datenbank-Managementsystem nehmen, das es ihm möglich machte, die Einträge zu verändern.

Techchrunch hatte Gearbest im Vorfeld des Berichts kontaktiert und um eine Stellungnahme gebeten. Bisher hat sich der Konzern aber nicht zu den offenen Kundendatenbanken und den weitreichenden Zugriffsmöglichkeiten geäußert. Rotem ist nicht bekannt, wie lange die Server schon öffentlich zugänglich waren, zum aktuellen Zeitpunkt scheinen die Daten weiter ohne Absicherung im Netz verfügbar zu sein.
whatsapp
Jede Woche neu: Top-News per E-Mail
10 Kommentare lesen & antworten
Desktop-Version anzeigen
Hoch © 2000 - 2019 WinFuture Impressum Datenschutz