Datenleck: Flink die Kundendaten abgefragt

Der Lieferdienst Flink will Einkäufe in 10 Minuten ausliefern - bei den Kundendaten war er noch schneller.

Artikel veröffentlicht am ,
Datenleck und Smoothi, aber Flink.
Datenleck und Smoothi, aber Flink. (Bild: Flink)

"Ein Einkauf geliefert in 10 Min.", wirbt das Startup Flink für seine gleichnamige App, mit der in mehreren Großstädten Lebensmittel bestellt werden können. Die Projektgruppe Zerforschung hat einen Smoothie bestellt und die App untersucht. Dabei konnte die Gruppe problemlos die Bestellungen und Adressdaten anderer Kunden einsehen. Eine Sicherheitslücke.

Stellenmarkt
  1. Senior Data Engineer (m/f/d)
    Lidl Digital, Neckarsulm, Berlin
  2. IT Service Portfolio Manager (m/w/d)
    Soluvia IT-Services GmbH, Mannheim, Kiel, Offenbach am Main
Detailsuche

Mit einem Machine-in-the-Middle-Proxy (MitM) liest die Projektgruppe die Kommunikation der App mit. Dabei handelt es sich vor allem um Datenbankabfragen. Über einen in der App hinterlegten Autorisierungs-Token konnten sie sich direkt mit dem Flink-Server verbinden und die Datenbank abfragen - zum Beispiel die Anzahl aller Bestellungen (3.953) oder die Bestellungen selbst.

Auch der bestellte Smoothie taucht in der Datenbank auf: "Zu sehen sind Name, Adresse, Telefonnummer, E-Mail, letzte 4 Stellen der Kreditkarte und was bestellt wurde", schreibt die Projektgruppe. Über die offene API von Flink hätten auch die Details von allen 4.000 Bestellungen der letzten Monate samt Kundendaten abgefragt werden können.

Flink meldet Datenleck an Datenschutzbeauftragte

Die Projektgruppe meldete ihren Fund an Flink. Daraufhin wurde die Sicherheitslücke innerhalb eines Tages geschlossen und die Kundschaft sowie die Berliner Landesdatenschutzbeauftragte über das Datenleck informiert. Dabei wurde allerdings nicht erwähnt, dass neben den Bestandsdaten auch die Bestellungen abgerufen werden konnten.

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    17.-19.01.2023, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    09.-13.01.2023, virtuell
Weitere IT-Trainings

"Wir finden: Wer mit personenbezogenen Daten arbeitet, muss diese ausreichend sichern. Startups können dabei keinen Welpenschutz für sich reklamieren. Wenn das Produkt marktreif genug ist, um Kundendaten zu speichern, muss es auch reif genug sein, diese für sich zu behalten", schreibt Zerforschung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


WalterSobchak 12. Mär 2021

Ich meine gut, dass viele Apps immer noch "client secrets" in bundles speichern für...

Dystopinator 11. Mär 2021

es war schon vor jahrzehnten üblich immer schön verluste zu schreiben und die gewinne in...

wHiTeCaP 11. Mär 2021

Wenn sie das nach der Meldung der Sicherheitslücke nicht getan hätten, wäre es durch...

AntonZietz 11. Mär 2021

Nein, keine Rumänischen Investoren, sondern: Target Global , Northzone, Cherry Ventures...



Aktuell auf der Startseite von Golem.de
El-Ali-Meteorit
Forscher entdecken zwei neue Minerale in einem Meteoriten

In einer Probe aus einem in Somalia niedergegangenen Meteoriten wurden zwei Mineralien entdeckt, die auf der Erde so bisher nicht gefunden wurden.

El-Ali-Meteorit: Forscher entdecken zwei neue Minerale in einem Meteoriten
Artikel
  1. Kraftfahrt-Bundesamt: Elektrischer Corsa sollte zur Abgasuntersuchung
    Kraftfahrt-Bundesamt
    Elektrischer Corsa sollte zur Abgasuntersuchung

    Das Kraftfahrt-Bundesamt ruft den Opel Corsa samt der Elektro-Variante zurück, weil ein Softwarefehler im Auto eine Messung verhindert.

  2. Recruiting: Personalauswahl mit KI kann Unternehmen schaden
    Recruiting
    Personalauswahl mit KI kann Unternehmen schaden

    Software ist objektiv und kennt keine Vorurteile, das macht Künstliche Intelligenz interessant für die Personalauswahl. Ist KI also besser als Personaler? Die Bewerber sind skeptisch und die Wissenschaft liefert keinen Beweis dafür.
    Ein Bericht von Peter Ilg

  3. Gerichtsurteil: MDR darf Facebook-Kommentare ohne Sendungsbezug löschen
    Gerichtsurteil
    MDR darf Facebook-Kommentare ohne Sendungsbezug löschen

    Öffentlich-rechtliche Sender begehen keine Zensur, wenn sie nicht strafbare Kommentare auf Facebook löschen. Manchmal sind sie eher dazu verpflichtet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Tiefstpreise: Crucial SSD 4TB 319€, Palit RTX 4080 1.499€, HTC Vive Pro 2 659€ • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ [Werbung]
    •  /