200.000 Nutzer betroffen Berliner Lieferdienst Gorillas räumt Datenpanne ein

Das Hackerkollektiv »Zerforschung« hat erneut Schwachstellen bei einem Bringdienst aufgedeckt: Diesmal waren die Namen sowie die Kontakt- und Bestelldaten von 200.000 Gorillas-Kunden frei im Netz abrufbar.
Gorillas-Fahrradkurier: Der Dienst hat eine Datenpanne eingeräumt

Gorillas-Fahrradkurier: Der Dienst hat eine Datenpanne eingeräumt

Foto: Arnulf Hettrich / imago images

Beim Lebensmittel-Lieferdienst Gorillas aus Berlin hat es nach Unternehmensangaben ein Datenleck gegeben. »Es gab Schwachstellen im Warenhaus-System«, teilte das Unternehmen am Donnerstag auf Anfrage mit. »Nach bestem Wissen des Unternehmens wurden keine Daten entwendet oder anderweitig missbraucht.« Zuerst hatten NDR und rbb  darüber berichtet.

Die Sicherheitslücke sei inzwischen wieder geschlossen, heißt es. Möglicherweise betroffene Kunden seien per E-Mail benachrichtigt worden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe Gorillas auf die Fehler aufmerksam gemacht, so der Dienst. Weitere Sicherheitsmängel seien aktuell nicht bekannt. Zum genauen Ausmaß machte ein Sprecher zunächst keine Angaben.

Entdeckt und dem BSI gemeldet hatte die Schwachstelle aber das Hackerkollektiv »Zerforschung«. Dessen Mitglieder gehen davon aus, dass mehr als eine Million Bestelldaten von mehr als 200.000 Gorillas-Kundinnen und Kunden offen im Netz abrufbar waren. Darunter die Namen, Anschriften, Telefonnummern, E-Mail-Adressen sowie die Bestelldetails der Kunden. Außerdem fand das Kollektiv in einem ungesicherten Cloudspeicher auch Fotos, die Gorillas-Kuriere von Klingelschildern einiger Kunden angefertigt hatten.

Gorillas hatte vor Kurzem 244 Millionen Euro Kapital eingesammelt. Die Bewertung des Unternehmens überschritt damit eine Milliarde Dollar. »Einhorn« wird so etwas dann genannt. »Zerforschung« spricht in seiner Analyse  hingegen von »Einhornaufschnitt«.

Die Hackerinnen und Hacker haben auch beim Hamburger Lieferdienst Bringoo Sicherheitslücken entdeckt. Die Daten von 3000 Kundinnen und Kunden waren dadurch zugänglich, was Bringoo auf Anfrage von NDR und rbb bestätigte.

Es waren aber nicht die ersten Fälle dieser Art: Im März hatte »Zerforschung« in der App des Onlinesupermarkts Flink eine Schwachstelle entdeckt. Unbefugte hätten die Namen, Adressen, Telefonnummern, E-Mail-Adressen sowie die vier letzten Ziffern der verwendeten Kreditkarten von Kundinnen und Kunden abrufen können.

Start-ups missachten »grundlegende Maßnahmen der IT-Sicherheit«

»Solche Lücken sind ein generelles Problem, aber ganz besonders in dieser Branche«, schreibt das Kollektiv dem SPIEGEL. »Wir sehen immer wieder, dass Start-ups grundlegende Maßnahmen der IT-Sicherheit missachten.« Mögliche Gründe dafür glaubt »Zerforschung« auch zu kennen: »IT-Sicherheit und Datenschutz lassen sich nicht so leicht vermarkten wie neue Features einer App. Zudem wird gerade in den frühen Phasen eines Start-ups vor allem in solche neuen Features und Expansion statt in ein solides Softwarefundament investiert. Später findet sich dann häufig keine Zeit, diese Probleme noch mal anzugehen.«

Irritierend finden die Hackerinnen und Hacker, dass Risikokapitalgeber »nicht auf die Qualität des Systems zu achten scheinen«: »Wenn ein Produkt marktreif genug ist, um Kundendaten zu speichern, muss es auch reif genug sein, diese für sich zu behalten.«

pbe/dpa
Die Wiedergabe wurde unterbrochen.