• IT-Karriere:
  • Services:

Datenleak: Kundendaten von Gearbest öffentlich im Internet

Was bestellen Gearbest-Kunden und wohin lassen sie die Produkte liefern? Ein Sicherheitsforscher konnte auf mehrere, ungeschützte Datenbanken des Onlinehändlers zugreifen. Auf eine Meldung reagierte Gearbest bisher nicht.

Artikel veröffentlicht am ,
Massives Datenleak bei Gearbest
Massives Datenleak bei Gearbest (Bild: Twitter Trends 2019/CC-BY 2.0)

Die Kundendaten des chinesischen Onlinehändlers Gearbest konnten von dem Sicherheitsforscher Noam Rotem ungeschützt über das Internet abgerufen werden. Der Forscher konnte auf die Bestellungen, die Zahlungsdaten sowie die Kundendaten zugreifen. Gearbest ist unter den Top 250 der meistbesuchten Webseiten und liefert weltweit. Neben einer deutschsprachigen Variante ist der Onlineshop in 17 weiteren Sprachen verfügbar. Die Firma betreibt Warendepots in Europa und vertreibt bekannte Marken wie Asus, Huawei, Intel und Lenovo. Zuerst hatte Techcrunch berichtet.

Stellenmarkt
  1. Possling GmbH & Co. KG, Berlin
  2. WBS GRUPPE, deutschlandweit (Home-Office)

Rotem konnte drei Datenbanken über einen offen zugänglichen Elasticsearch-Server durchsuchen. In der Kundendatenbank waren unter anderem Name, Adresse, Geburtsdatum, Nationalität, Telefonnummer, IP-Adresse und das Kennwort gespeichert. Neben den Bestandsdaten der Kunden konnte in einer anderen Datenbank die Bestellhistorie der Kunden eingesehen werden. In einer dritten Datenbank hat Gearbest die Zahlungsdaten der Kunden gespeichert. In ihr fanden sich die Zahlungsinformationen, die IP-Adresse sowie Bestellnummer, Name und E-Mail-Adresse. Jede Woche seien mehrere Millionen Einträge geleakt worden, schreibt Techcrunch.

Gearbest reagiert nicht

Unter derselben IP-Adresse wie die Datenbanken fand der Sicherheitsforscher auch eine Weboberfläche, über die sich die Datenbanken des Mutterkonzerns Globalgrow nicht nur lesen, sondern auch verändern ließen. Entdeckt hatte Rotem die Datenbanken am 7. März, seit wann die sie ungeschützt über das Internet abgerufen werden können, ist unklar.

Gearbest hat eine eigene Webseite, auf der Sicherheitsvorfälle gemeldet werden können, und betreibt ein Bounty-Programm. Über diese Seite hatte Techcrunch das Security-Team des Onlinehändlers kontaktiert; dieses habe jedoch weder geantwortet noch die Daten abgesichert, schreibt Techcrunch.

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    3.-7. Mai 2021, online
Weitere IT-Trainings

Immer wieder können persönliche Nutzerdaten ungeschützt im Internet abgerufen werden. Erst kürzlich entdeckte ein Sicherheitsforscher eine Datenbank, in der die mittels Gesichtserkennung erfassten Aufenthaltsorte von 2,5 Millionen Menschen in China öffentlich einsehbar waren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Geniale Geheimtipps
    Dorfromantik, Alpenhorror und Sim-Schwertkampf
  2. Core-i7/i9-Generationenvergleich
    Wir haben alle 14-nm-CPUs von Intel getestet
  3. Google Earth
    Das größte Video der Welt zeigt den Klimawandel
  4. Ehemaliger CIA-Vize
    Bitcoin ist ein "Segen für die Überwachung"
  5. Bitcoin-Gewinne
    Softwareentwickler spendet Million an die Grünen
Anzeige
Top-Angebote
  1. (u. a. LG OLED55CX9LA 55 Zoll OLED 120Hz VRR für 1.299€, Samsung GU82TU8079 82 Zoll LED für 1...
  2. 77€ (Bestpreis)
  3. (u. a. WD MyPassport externe HDD 5TB für 99€, Sony KD-55XH9077 55Zoll LED für 799€ (inkl...
  4. (u. a. Lords of the Fallen Game of the Year Edition für 2,50€, Toybox Turbos für 3,33€, Heavy...
Kommentarübersicht
Re: Blanker Zynismus
Anonymer Nutzer 16. Mär 2019

genau, die hölle ist dort schon realität, was dagegen unternehmen, och nö, träumen wir...

Re: Weiß jemand mehr?
Hotohori 15. Mär 2019

Uff, na das trägt doch sehr zum Glauben an die Internetsicherheit bei. XD

Vorschlag: Open Data ... aber so richtig
egal 15. Mär 2019

Vieleicht sollte man in Zukunft zum bedingslosen Grundeinkommen auch bedingungslos offene...

Folgen Sie uns
       
Opel Zafira-e Life Probe gefahren

Wir haben den Opel Zafira-e Life ausführlich getestet.

Opel Zafira-e Life Probe gefahren Video aufrufen
Arbeit
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden
ERP
Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock

    Elektroauto
    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /