Abo
  • Services:

Datenleak: Kundendaten von Gearbest öffentlich im Internet

Was bestellen Gearbest-Kunden und wohin lassen sie die Produkte liefern? Ein Sicherheitsforscher konnte auf mehrere, ungeschützte Datenbanken des Onlinehändlers zugreifen. Auf eine Meldung reagierte Gearbest bisher nicht.

Artikel veröffentlicht am ,
Massives Datenleak bei Gearbest
Massives Datenleak bei Gearbest (Bild: Twitter Trends 2019/CC-BY 2.0)

Die Kundendaten des chinesischen Onlinehändlers Gearbest konnten von dem Sicherheitsforscher Noam Rotem ungeschützt über das Internet abgerufen werden. Der Forscher konnte auf die Bestellungen, die Zahlungsdaten sowie die Kundendaten zugreifen. Gearbest ist unter den Top 250 der meistbesuchten Webseiten und liefert weltweit. Neben einer deutschsprachigen Variante ist der Onlineshop in 17 weiteren Sprachen verfügbar. Die Firma betreibt Warendepots in Europa und vertreibt bekannte Marken wie Asus, Huawei, Intel und Lenovo. Zuerst hatte Techcrunch berichtet.

Stellenmarkt
  1. SCHOTT AG, Mitterteich
  2. Omikron Data Quality GmbH, Berlin

Rotem konnte drei Datenbanken über einen offen zugänglichen Elasticsearch-Server durchsuchen. In der Kundendatenbank waren unter anderem Name, Adresse, Geburtsdatum, Nationalität, Telefonnummer, IP-Adresse und das Kennwort gespeichert. Neben den Bestandsdaten der Kunden konnte in einer anderen Datenbank die Bestellhistorie der Kunden eingesehen werden. In einer dritten Datenbank hat Gearbest die Zahlungsdaten der Kunden gespeichert. In ihr fanden sich die Zahlungsinformationen, die IP-Adresse sowie Bestellnummer, Name und E-Mail-Adresse. Jede Woche seien mehrere Millionen Einträge geleakt worden, schreibt Techcrunch.

Gearbest reagiert nicht

Unter derselben IP-Adresse wie die Datenbanken fand der Sicherheitsforscher auch eine Weboberfläche, über die sich die Datenbanken des Mutterkonzerns Globalgrow nicht nur lesen, sondern auch verändern ließen. Entdeckt hatte Rotem die Datenbanken am 7. März, seit wann die sie ungeschützt über das Internet abgerufen werden können, ist unklar.

Gearbest hat eine eigene Webseite, auf der Sicherheitsvorfälle gemeldet werden können, und betreibt ein Bounty-Programm. Über diese Seite hatte Techcrunch das Security-Team des Onlinehändlers kontaktiert; dieses habe jedoch weder geantwortet noch die Daten abgesichert, schreibt Techcrunch.

Immer wieder können persönliche Nutzerdaten ungeschützt im Internet abgerufen werden. Erst kürzlich entdeckte ein Sicherheitsforscher eine Datenbank, in der die mittels Gesichtserkennung erfassten Aufenthaltsorte von 2,5 Millionen Menschen in China öffentlich einsehbar waren.

Zu den Kommentaren springen
Meistgelesen
  1. Kuhhandel zu Nord Stream?
    Was eine Gaspipeline mit Uploadfiltern zu tun haben könnte
  2. Amazon, Netflix und Sky
    Das goldene Streaming-Zeitalter ist wohl bald vorbei
  3. Elektroauto
    BMW i2 soll unter 30.000 Euro kosten
  4. Apple TV+
    Apple bringt Streamingdienst mit eigenen Filmen und Serien
  5. Mobiles Betriebssystem
    Apple veröffentlicht iOS 12.2
Anzeige
Hardware-Angebote
  1. 59,99€
  2. 339€ (Bestpreis!)
  3. (u. a. 32 GB 6,98€, 128 GB 23,58€)
  4. 18,99€ (exklusiv für Prime-Mitglieder)
Kommentarübersicht
Re: Blanker Zynismus
ML82 16. Mär 2019 / Themenstart

genau, die hölle ist dort schon realität, was dagegen unternehmen, och nö, träumen wir...

Re: Weiß jemand mehr?
Hotohori 15. Mär 2019 / Themenstart

Uff, na das trägt doch sehr zum Glauben an die Internetsicherheit bei. XD

Vorschlag: Open Data ... aber so richtig
egal 15. Mär 2019 / Themenstart

Vieleicht sollte man in Zukunft zum bedingslosen Grundeinkommen auch bedingungslos offene...

Kommentieren

Folgen Sie uns
       
LG V50 mit Dualscreen - Hands on (MWC 2019)

LG hat auf dem Mobile World Congress 2019 in Barcelona das 5G-fähige Smartphone V50 Thinq gezeigt. Passend dazu gibt es eine spezielle Hülle, die sich Dual Screen nennt. Darun befindet sich ein zweites Display, das sich parallel zum normalen Smartphone-Display nutzen lässt.

LG V50 mit Dualscreen - Hands on (MWC 2019) Video aufrufen
Test
Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern
DLR
Next Generation Car: Das Fahrzeug der Zukunft ist modular
Next Generation Car
Das Fahrzeug der Zukunft ist modular

Ein Fahrzeug braucht eine Kabine und einen Antrieb. Müssen aber beide eine fest verbundene Einheit sein? Forscher des DLR arbeiten an verschiedenen Konzepten für das Auto der Zukunft. Eines davon ist ein modulares Fahrzeug, das für verschiedene Zwecke eingesetzt werden kann.
Von Werner Pluta

  1. DLR Phylax erkennt Sprengstoffreste per Laser
  2. Raumfahrt DLR testet 3D-gedrucktes Raketentriebwerk
  3. Eden ISS Raumfahrt-Salat für Antarktis-Bewohner
Fintech
Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
Mobile Bezahldienste
Wie sicher sind Apple Pay und Google Pay?

Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
Von Andreas Maisch

  1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
  2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
  3. Fintech Wirecard wird zur Smartphone-Bank
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /