Datenleak: Kundendaten von Gearbest öffentlich im Internet

Was bestellen Gearbest-Kunden und wohin lassen sie die Produkte liefern? Ein Sicherheitsforscher konnte auf mehrere, ungeschützte Datenbanken des Onlinehändlers zugreifen. Auf eine Meldung reagierte Gearbest bisher nicht.

Artikel veröffentlicht am ,
Massives Datenleak bei Gearbest
Massives Datenleak bei Gearbest (Bild: Twitter Trends 2019/CC-BY 2.0)

Die Kundendaten des chinesischen Onlinehändlers Gearbest konnten von dem Sicherheitsforscher Noam Rotem ungeschützt über das Internet abgerufen werden. Der Forscher konnte auf die Bestellungen, die Zahlungsdaten sowie die Kundendaten zugreifen. Gearbest ist unter den Top 250 der meistbesuchten Webseiten und liefert weltweit. Neben einer deutschsprachigen Variante ist der Onlineshop in 17 weiteren Sprachen verfügbar. Die Firma betreibt Warendepots in Europa und vertreibt bekannte Marken wie Asus, Huawei, Intel und Lenovo. Zuerst hatte Techcrunch berichtet.

Stellenmarkt
  1. Spezialist*in für WLAN-Architektur und IT-Security "Operation" (m/w/d)
    Landeshauptstadt Stuttgart, Stuttgart
  2. Consultant Digital Networks (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main
Detailsuche

Rotem konnte drei Datenbanken über einen offen zugänglichen Elasticsearch-Server durchsuchen. In der Kundendatenbank waren unter anderem Name, Adresse, Geburtsdatum, Nationalität, Telefonnummer, IP-Adresse und das Kennwort gespeichert. Neben den Bestandsdaten der Kunden konnte in einer anderen Datenbank die Bestellhistorie der Kunden eingesehen werden. In einer dritten Datenbank hat Gearbest die Zahlungsdaten der Kunden gespeichert. In ihr fanden sich die Zahlungsinformationen, die IP-Adresse sowie Bestellnummer, Name und E-Mail-Adresse. Jede Woche seien mehrere Millionen Einträge geleakt worden, schreibt Techcrunch.

Gearbest reagiert nicht

Unter derselben IP-Adresse wie die Datenbanken fand der Sicherheitsforscher auch eine Weboberfläche, über die sich die Datenbanken des Mutterkonzerns Globalgrow nicht nur lesen, sondern auch verändern ließen. Entdeckt hatte Rotem die Datenbanken am 7. März, seit wann die sie ungeschützt über das Internet abgerufen werden können, ist unklar.

Gearbest hat eine eigene Webseite, auf der Sicherheitsvorfälle gemeldet werden können, und betreibt ein Bounty-Programm. Über diese Seite hatte Techcrunch das Security-Team des Onlinehändlers kontaktiert; dieses habe jedoch weder geantwortet noch die Daten abgesichert, schreibt Techcrunch.

Golem Akademie
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
Weitere IT-Trainings

Immer wieder können persönliche Nutzerdaten ungeschützt im Internet abgerufen werden. Erst kürzlich entdeckte ein Sicherheitsforscher eine Datenbank, in der die mittels Gesichtserkennung erfassten Aufenthaltsorte von 2,5 Millionen Menschen in China öffentlich einsehbar waren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anonymer Nutzer 16. Mär 2019

genau, die hölle ist dort schon realität, was dagegen unternehmen, och nö, träumen wir...

Hotohori 15. Mär 2019

Uff, na das trägt doch sehr zum Glauben an die Internetsicherheit bei. XD

egal 15. Mär 2019

Vieleicht sollte man in Zukunft zum bedingslosen Grundeinkommen auch bedingungslos offene...



Aktuell auf der Startseite von Golem.de
Lieferengpässe
Ist es moralisch okay, eine PS5 auf Ebay zu kaufen?

Kein Warten mehr, 200 bis 300 Euro Aufpreis: Wer eine Playstation 5 will, kann sie sofort haben. Falls das Gewissen mitspielt.
Ein IMHO von Peter Steinlechner

Lieferengpässe: Ist es moralisch okay, eine PS5 auf Ebay zu kaufen?
Artikel
  1. Samsung Odyssey Neo G9 im Test: Mini-LED im Ultrawide-Format macht den Unterschied
    Samsung Odyssey Neo G9 im Test
    Mini-LED im Ultrawide-Format macht den Unterschied

    Samsungs Odyssey Neo G9 ist riesig und durch Mini-LED auch kontraststark. Es gibt derzeit keinen besseren (und teureren) 32:9-Monitor für Gaming.
    Ein Test von Oliver Nickel

  2. Tastatur: Cherry präsentiert Stream ohne Nummernblock
    Tastatur
    Cherry präsentiert Stream ohne Nummernblock

    Cherry bringt seinen Tastatur-Klassiker Stream als kompakte TKL-Version auf den Markt. An der Technik ändert der Hersteller nichts.

  3. Coronapandemie: Leuchtende Maske erkennt Corona-Infektion
    Coronapandemie
    Leuchtende Maske erkennt Corona-Infektion

    Ein japanisches Team hat einen Corona-Test mit einem Farbstoff entwickelt. Der leuchtet, wenn eine Person mit dem Corona-Virus infiziert ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM-Module und SSDs von Crucial im Angebot • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Microsoft Flight Simulator Xbox 29,99€ • Alternate (u. a. Kingston A400 480 GB SSD 37,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /