Zahlungsdaten, Passwörter...alles: Gearbest-Kundendaten offen im Netz

Frau, Schmerz, Angst Bildquelle: Sebastian Wallroth (CC BY 2.0)
Der chinesische Online-Händler Gearbest soll laut Medienberichten seine Kundendaten nicht richtig absichern. Ein Sicherheitsforscher konnte sehr einfach auf mehrere Datenbanken zugreifen, die neben Namen, Adressen und Passwörtern auch Bestellhistorie und Zahlungsdaten enthielten. Gearbest hat bisher nicht auf die Berichte reagiert, die Lücken in der Kundendatenbank bestehen weiterhin.

Gearbest-Datenbanken mit weitreichenden Kundendaten sind für jeden einsehbar

Gearbest gehört zu den 250 der weltweit meistbesuchten Webseiten und ist ein echter Gigant im Internethandel. Wie Techcrunch berichtet, hatte der Sicherheits­forscher Noam Rotem mit einem Team von VPNMentor jetzt einen durchsuchbaren Elasticsearch-Server entdeckt, der "jede Woche Millionen von Einträgen leaked" - allesamt Kundendaten des Anbieters. Da der Server nicht mit einem Passwort geschützt ist, könnte prinzipiell jeder auf diese Daten zugreifen und sie durchsuchen.

Wie Rotem in seinem Bericht zu dem Datenleck ausführt, enthalten die frei zugänglichen Datensätze Namen, Adressen, Telefonnummern und Email-Adressen der Kunden. Darüber hinaus erlauben diese auch einen Rückschluss auf die gesamte Bestellhistorie. Zu guter Letzt waren auch Zahlungsdaten und Rechnungen in den offenen Datenbanken einsehbar "inklusive der bisher ausgegebenen Beträge". Techcrunch konnte bestätigen, dass die Datenbank genauen Aufschluss darüber zulässt, wann Kunden etwas gekauft hatten und an welche Adresse der Versand erfolgt war.

Nicht nur so ein Problemchen

Rotem betont, dass vor allem dieser Teil der Informationen für Kunden in bestimmten Ländern zu einem sehr ernsten Problem werden könnten. "Die offengelegten Daten könnten Kunden in einigen Teilen der Welt in Gefahr bringen, in denen die Meinungsfreiheit eingeschränkt ist", so der Forscher. Unter derselben IP-Adresse konnte Rotem dann auch noch Zugriff auf ein Web-basiertes Datenbank-Managementsystem nehmen, das es ihm möglich machte, die Einträge zu verändern.

Techchrunch hatte Gearbest im Vorfeld des Berichts kontaktiert und um eine Stellungnahme gebeten. Bisher hat sich der Konzern aber nicht zu den offenen Kundendatenbanken und den weitreichenden Zugriffsmöglichkeiten geäußert. Rotem ist nicht bekannt, wie lange die Server schon öffentlich zugänglich waren, zum aktuellen Zeitpunkt scheinen die Daten weiter ohne Absicherung im Netz verfügbar zu sein. Frau, Schmerz, Angst Frau, Schmerz, Angst Sebastian Wallroth (CC BY 2.0)
Diese Nachricht empfehlen
Kommentieren10
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 11:45 Uhr COODEN DC Einstellbar Stromversorgung Labornetzgerät 0-30V 0-10A DC Regulated Power Supply Switch Digital dispaly Einstellbar Stromversorgung Schalter CP3010SCOODEN DC Einstellbar Stromversorgung Labornetzgerät 0-30V 0-10A DC Regulated Power Supply Switch Digital dispaly Einstellbar Stromversorgung Schalter CP3010S
Original Amazon-Preis
74,98
Im Preisvergleich ab
?
Blitzangebot-Preis
63,74
Ersparnis zu Amazon 15% oder 11,24

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden