Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Datenleck: Flink die Kundendaten abgefragt

Der Lieferdienst Flink will Einkäufe in 10 Minuten ausliefern - bei den Kundendaten war er noch schneller.
/ Moritz Tremmel
11 Kommentare News folgen (öffnet im neuen Fenster)
Datenleck und Smoothi, aber Flink. (Bild: Flink)
Datenleck und Smoothi, aber Flink. Bild: Flink

"Ein Einkauf geliefert in 10 Min.," wirbt das Startup Flink(öffnet im neuen Fenster) für seine gleichnamige App, mit der in mehreren Großstädten Lebensmittel bestellt werden können. Die Projektgruppe Zerforschung(öffnet im neuen Fenster) hat einen Smoothie bestellt und die App untersucht. Dabei konnte die Gruppe problemlos die Bestellungen und Adressdaten anderer Kunden einsehen. Eine Sicherheitslücke.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Revisor/-in / Prüfungsleitung Ausrichtung IT, Informationssicherheit und Projektmanagement (m/w/d) – ohne Reisetätigkeit – VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe (öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
ERP-Administrator (m/w/d) MUNK Group, Günzburg (öffnet im neuen Fenster)
Agile Coach (m/w/d) in Vollzeit Katholisches Klinikum Koblenz - Montabaur, Koblenz (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) Handwerkskammer für München und Oberbayern, München (öffnet im neuen Fenster)
Ausbildung Kaufmann für Digitalisierungsmanagement (m/w/d) EJOT SE & Co. KG, Bad Berleburg (öffnet im neuen Fenster)
Duales Studium BWL/Immobilienwirtschaft Bundesanstalt für Immobilienaufgaben, Berlin (öffnet im neuen Fenster)
IT-Security Expert (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)

Mit einem Machine-in-the-Middle-Proxy (MitM) liest die Projektgruppe die Kommunikation der App mit. Dabei handelt es sich vor allem um Datenbankabfragen. Über einen in der App hinterlegten Autorisierungs-Token konnten sie sich direkt mit dem Flink-Server verbinden und die Datenbank abfragen - zum Beispiel die Anzahl aller Bestellungen (3.953) oder die Bestellungen selbst.

Auch der bestellte Smoothie taucht in der Datenbank auf: "Zu sehen sind Name, Adresse, Telefonnummer, E-Mail, letzte 4 Stellen der Kreditkarte und was bestellt wurde," schreibt die Projektgruppe. Über die offene API von Flink hätten auch die Details von allen 4.000 Bestellungen der letzten Monate samt Kundendaten abgefragt werden können.

Flink meldet Datenleck an Datenschutzbeauftragte

Die Projektgruppe meldete ihren Fund an Flink. Daraufhin wurde die Sicherheitslücke innerhalb eines Tages geschlossen und die Kundschaft sowie die Berliner Landesdatenschutzbeauftragte über das Datenleck informiert. Dabei wurde allerdings nicht erwähnt, dass neben den Bestandsdaten auch die Bestellungen abgerufen werden konnten.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

"Wir finden: Wer mit personenbezogenen Daten arbeitet, muss diese ausreichend sichern. Startups können dabei keinen Welpenschutz für sich reklamieren. Wenn das Produkt marktreif genug ist, um Kundendaten zu speichern, muss es auch reif genug sein, diese für sich zu behalten," schreibt Zerforschung.

Zur Startseite 11 Kommentare

Relevante Themen

SecuritySicherheitslückeWissenInnovation & ForschungWirtschaftUnternehmenEnergie & KlimaKlima & UmweltStart-upDatensicherheit