Datenleak: Kundendaten von Gearbest öffentlich im Internet

Was bestellen Gearbest-Kunden und wohin lassen sie die Produkte liefern? Ein Sicherheitsforscher konnte auf mehrere, ungeschützte Datenbanken des Onlinehändlers zugreifen. Auf eine Meldung reagierte Gearbest bisher nicht.

Artikel veröffentlicht am ,
Massives Datenleak bei Gearbest
Massives Datenleak bei Gearbest (Bild: Twitter Trends 2019/CC-BY 2.0)

Die Kundendaten des chinesischen Onlinehändlers Gearbest konnten von dem Sicherheitsforscher Noam Rotem ungeschützt über das Internet abgerufen werden. Der Forscher konnte auf die Bestellungen, die Zahlungsdaten sowie die Kundendaten zugreifen. Gearbest ist unter den Top 250 der meistbesuchten Webseiten und liefert weltweit. Neben einer deutschsprachigen Variante ist der Onlineshop in 17 weiteren Sprachen verfügbar. Die Firma betreibt Warendepots in Europa und vertreibt bekannte Marken wie Asus, Huawei, Intel und Lenovo. Zuerst hatte Techcrunch berichtet.

Stellenmarkt
  1. Spezialist*in für WLAN-Architektur und IT-Security "Operation" (m/w/d)
    Landeshauptstadt Stuttgart, Stuttgart
  2. Consultant Digital Networks (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main
Detailsuche

Rotem konnte drei Datenbanken über einen offen zugänglichen Elasticsearch-Server durchsuchen. In der Kundendatenbank waren unter anderem Name, Adresse, Geburtsdatum, Nationalität, Telefonnummer, IP-Adresse und das Kennwort gespeichert. Neben den Bestandsdaten der Kunden konnte in einer anderen Datenbank die Bestellhistorie der Kunden eingesehen werden. In einer dritten Datenbank hat Gearbest die Zahlungsdaten der Kunden gespeichert. In ihr fanden sich die Zahlungsinformationen, die IP-Adresse sowie Bestellnummer, Name und E-Mail-Adresse. Jede Woche seien mehrere Millionen Einträge geleakt worden, schreibt Techcrunch.

Gearbest reagiert nicht

Unter derselben IP-Adresse wie die Datenbanken fand der Sicherheitsforscher auch eine Weboberfläche, über die sich die Datenbanken des Mutterkonzerns Globalgrow nicht nur lesen, sondern auch verändern ließen. Entdeckt hatte Rotem die Datenbanken am 7. März, seit wann die sie ungeschützt über das Internet abgerufen werden können, ist unklar.

Gearbest hat eine eigene Webseite, auf der Sicherheitsvorfälle gemeldet werden können, und betreibt ein Bounty-Programm. Über diese Seite hatte Techcrunch das Security-Team des Onlinehändlers kontaktiert; dieses habe jedoch weder geantwortet noch die Daten abgesichert, schreibt Techcrunch.

Golem Akademie
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
Weitere IT-Trainings

Immer wieder können persönliche Nutzerdaten ungeschützt im Internet abgerufen werden. Erst kürzlich entdeckte ein Sicherheitsforscher eine Datenbank, in der die mittels Gesichtserkennung erfassten Aufenthaltsorte von 2,5 Millionen Menschen in China öffentlich einsehbar waren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Leak
500.000 Magic-Karten-Spieler von Datenleck betroffen
artikel-bild
Datenleck
Hacker bietet Daten von zwei Escort-Foren zum Verkauf an
artikel-bild
Windows 10
Die tickende DSGVO-Zeitbombe von Microsoft
artikel-bild
Teclast F6
Sieht aus wie ein Ultrabook und kostet 250 Euro
artikel-bild
E-Privacy-Verordnung
Medien sollen Tracking-Erlaubnis bekommen
Meistgelesen
artikel-bild
Lieferengpässe
Ist es moralisch okay, eine PS5 auf Ebay zu kaufen?
artikel-bild
Euro NCAP
Renault Zoe mit katastrophalem Crash-Ergebnis
artikel-bild
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure
artikel-bild
Kaufberatung (2022)
Die richtige CPU und Grafikkarte
artikel-bild
Microsoft
Windows bekommt ein neues Notepad inklusive Dark Mode
Kommentarübersicht
Re: Blanker Zynismus
Anonymer Nutzer 16. Mär 2019

genau, die hölle ist dort schon realität, was dagegen unternehmen, och nö, träumen wir...

Re: Weiß jemand mehr?
Hotohori 15. Mär 2019

Uff, na das trägt doch sehr zum Glauben an die Internetsicherheit bei. XD

Vorschlag: Open Data ... aber so richtig
egal 15. Mär 2019

Vieleicht sollte man in Zukunft zum bedingslosen Grundeinkommen auch bedingungslos offene...

Aktuell auf der Startseite von Golem.de
Lieferengpässe
Ist es moralisch okay, eine PS5 auf Ebay zu kaufen?

Kein Warten mehr, 200 bis 300 Euro Aufpreis: Wer eine Playstation 5 will, kann sie sofort haben. Falls das Gewissen mitspielt.
Ein IMHO von Peter Steinlechner

Lieferengpässe: Ist es moralisch okay, eine PS5 auf Ebay zu kaufen?
Artikel
  1. Samsung Odyssey Neo G9 im Test: Mini-LED im Ultrawide-Format macht den Unterschied
    Samsung Odyssey Neo G9 im Test
    Mini-LED im Ultrawide-Format macht den Unterschied

    Samsungs Odyssey Neo G9 ist riesig und durch Mini-LED auch kontraststark. Es gibt derzeit keinen besseren (und teureren) 32:9-Monitor für Gaming.
    Ein Test von Oliver Nickel

  2. Tastatur: Cherry präsentiert Stream ohne Nummernblock
    Tastatur
    Cherry präsentiert Stream ohne Nummernblock

    Cherry bringt seinen Tastatur-Klassiker Stream als kompakte TKL-Version auf den Markt. An der Technik ändert der Hersteller nichts.

  3. Coronapandemie: Leuchtende Maske erkennt Corona-Infektion
    Coronapandemie
    Leuchtende Maske erkennt Corona-Infektion

    Ein japanisches Team hat einen Corona-Test mit einem Farbstoff entwickelt. Der leuchtet, wenn eine Person mit dem Corona-Virus infiziert ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM-Module und SSDs von Crucial im Angebot • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Microsoft Flight Simulator Xbox 29,99€ • Alternate (u. a. Kingston A400 480 GB SSD 37,99€) • Release: Halo Infinite 68,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /