• IT-Karriere:
  • Services:

Datenleak: Kundendaten von Gearbest öffentlich im Internet

Was bestellen Gearbest-Kunden und wohin lassen sie die Produkte liefern? Ein Sicherheitsforscher konnte auf mehrere, ungeschützte Datenbanken des Onlinehändlers zugreifen. Auf eine Meldung reagierte Gearbest bisher nicht.

Artikel veröffentlicht am ,
Massives Datenleak bei Gearbest
Massives Datenleak bei Gearbest (Bild: Twitter Trends 2019/CC-BY 2.0)

Die Kundendaten des chinesischen Onlinehändlers Gearbest konnten von dem Sicherheitsforscher Noam Rotem ungeschützt über das Internet abgerufen werden. Der Forscher konnte auf die Bestellungen, die Zahlungsdaten sowie die Kundendaten zugreifen. Gearbest ist unter den Top 250 der meistbesuchten Webseiten und liefert weltweit. Neben einer deutschsprachigen Variante ist der Onlineshop in 17 weiteren Sprachen verfügbar. Die Firma betreibt Warendepots in Europa und vertreibt bekannte Marken wie Asus, Huawei, Intel und Lenovo. Zuerst hatte Techcrunch berichtet.

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. KfW Bankengruppe, Frankfurt am Main

Rotem konnte drei Datenbanken über einen offen zugänglichen Elasticsearch-Server durchsuchen. In der Kundendatenbank waren unter anderem Name, Adresse, Geburtsdatum, Nationalität, Telefonnummer, IP-Adresse und das Kennwort gespeichert. Neben den Bestandsdaten der Kunden konnte in einer anderen Datenbank die Bestellhistorie der Kunden eingesehen werden. In einer dritten Datenbank hat Gearbest die Zahlungsdaten der Kunden gespeichert. In ihr fanden sich die Zahlungsinformationen, die IP-Adresse sowie Bestellnummer, Name und E-Mail-Adresse. Jede Woche seien mehrere Millionen Einträge geleakt worden, schreibt Techcrunch.

Gearbest reagiert nicht

Unter derselben IP-Adresse wie die Datenbanken fand der Sicherheitsforscher auch eine Weboberfläche, über die sich die Datenbanken des Mutterkonzerns Globalgrow nicht nur lesen, sondern auch verändern ließen. Entdeckt hatte Rotem die Datenbanken am 7. März, seit wann die sie ungeschützt über das Internet abgerufen werden können, ist unklar.

Gearbest hat eine eigene Webseite, auf der Sicherheitsvorfälle gemeldet werden können, und betreibt ein Bounty-Programm. Über diese Seite hatte Techcrunch das Security-Team des Onlinehändlers kontaktiert; dieses habe jedoch weder geantwortet noch die Daten abgesichert, schreibt Techcrunch.

Immer wieder können persönliche Nutzerdaten ungeschützt im Internet abgerufen werden. Erst kürzlich entdeckte ein Sicherheitsforscher eine Datenbank, in der die mittels Gesichtserkennung erfassten Aufenthaltsorte von 2,5 Millionen Menschen in China öffentlich einsehbar waren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Rayman Legends, Ghost Recon: Breakpoint -Trial, Might & Magic: Chess Royale, Rabbids Coding...
  2. 99€ (Bestpreis mit Saturn!)
  3. (u. a. Mount & Blade 2: Bannerlord für 42,49€, Killing Floor für 3,99€, Alien Spidy für 2...

Anonymer Nutzer 16. Mär 2019

genau, die hölle ist dort schon realität, was dagegen unternehmen, och nö, träumen wir...

Hotohori 15. Mär 2019

Uff, na das trägt doch sehr zum Glauben an die Internetsicherheit bei. XD

egal 15. Mär 2019

Vieleicht sollte man in Zukunft zum bedingslosen Grundeinkommen auch bedingungslos offene...


Folgen Sie uns
       


Samsung Galaxy S20 Ultra - Test

Das Galaxy S20 Ultra ist Samsungs Topmodell der Galaxy-S20-Reihe. Der südkoreanische Hersteller verbaut erstmals seinen 108-Megapixel-Kamerasensor - im Test haben wir uns aber mehr davon versprochen.

Samsung Galaxy S20 Ultra - Test Video aufrufen
    •  /