Lieferdienst Flink: Nutzerdaten inklusive Kreditkarten leicht abrufbar
Die anhaltende Pandemie-Lage sorgt bei Lieferdiensten für boomende Geschäfte. Aus Sicht der Betreiber liegt die Priorität klar darin, dass die Bearbeitung der Bestellungen funktioniert - was mit den Daten der Nutzer geschieht ist zweitrangig.
Das zeigt nun auch das Startup Flink, bei dem ein halbwegs versierter Angreifer relativ leicht auf tausende User-Datensätze zugreifen konnte. Dabei ließen sich Namen, Adressen, Kreditkartendaten und die bestellten Produkte auslesen. Das berichtet der Regionalsender RBB unter Berufung auf die Sicherheitsexperten des Zerforschung-Kollektivs, die dem Problem auf die Spur kamen.
Bei testweisen Zugriffen konnten 3726 Datensätze eingesehen werden. Um an die Informationen zu kommen, benötigte man nicht einmal ein geknacktes Passwort oder ähnliches. Das API war schlicht hinreichend schlecht gebaut, dass ein Programmierer binnen einer halben Stunde über die Smartphone-App bis zu den Daten durchdringen konnte. Dass es so einfach geht, überraschte auch die Sicherheitsforscher, die anfangs glaubten, es nur mit Testdaten zu tun zu haben. Probebestellungen zeigten aber, dass es sich um echte Informationen aus dem Tagesgeschäft handelte.
Flink ist hier allerdings nur ein sichtbares Beispiel für ein strukturelles Problem, das im Grunde die gesamte Startup-Branche umfasst. Schnellstmöglich werden hier Apps und Dienste auf den Markt geworfen, die in erster Linie funktionieren müssen. Und das Funktionieren beschränkt sich dabei darauf, die angebotene Aufgabe zu erledigen. Dass aber mehr zum Gesamtpaket gehört, wird schlicht ignoriert und vor allem die Sicherheit der Kundendaten leidet meist besonders. Dies ähnelt einem Auto, das seine Insassen zwar vorwärts bewegen kann, das aber ohne Bremsen und Sicherheitsgurt ausgeliefert wird.
Bei testweisen Zugriffen konnten 3726 Datensätze eingesehen werden. Um an die Informationen zu kommen, benötigte man nicht einmal ein geknacktes Passwort oder ähnliches. Das API war schlicht hinreichend schlecht gebaut, dass ein Programmierer binnen einer halben Stunde über die Smartphone-App bis zu den Daten durchdringen konnte. Dass es so einfach geht, überraschte auch die Sicherheitsforscher, die anfangs glaubten, es nur mit Testdaten zu tun zu haben. Probebestellungen zeigten aber, dass es sich um echte Informationen aus dem Tagesgeschäft handelte.
Ein strukturelles Problem
Das Unternehmen teilte in einer Stellungnahme mit, dass man die Schwachstelle behoben habe, nachdem die entsprechenden Hinweise angekommen waren. Am Wochenende schob man noch ein Update der App nach und auch der zuständige Berliner Datenschutz-Beauftragte sei über das Vorkommnis informiert worden. Die betroffenen Kunden wurden ebenfalls über das Problem in Kenntnis gesetzt. Zumindest hier reagierte das Unternehmen also angemessen.Flink ist hier allerdings nur ein sichtbares Beispiel für ein strukturelles Problem, das im Grunde die gesamte Startup-Branche umfasst. Schnellstmöglich werden hier Apps und Dienste auf den Markt geworfen, die in erster Linie funktionieren müssen. Und das Funktionieren beschränkt sich dabei darauf, die angebotene Aufgabe zu erledigen. Dass aber mehr zum Gesamtpaket gehört, wird schlicht ignoriert und vor allem die Sicherheit der Kundendaten leidet meist besonders. Dies ähnelt einem Auto, das seine Insassen zwar vorwärts bewegen kann, das aber ohne Bremsen und Sicherheitsgurt ausgeliefert wird.
Siehe auch:
Thema:
Beliebte Downloads
Neue Nachrichten
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen