Forscher entdecken Sicherheitslücke: Supermarkt-App Flink hat ihre Kundendaten unzureichend geschützt

In der Coronakrise boomen Lieferdienste. Doch wie sicher sind die Daten der Kundinnen und Kunden? Bei der Supermarkt-App Flink gelang es nun einem Forscherkollektiv, auf Nutzerdaten zuzugreifen.

Supermarkt-App Flink: Der Dienst ist in einigen Großstädten aktiv

Foto:

Christoph Dernbach / dpa

Ein Sicherheitsforschungs-Kollektiv hat in der App des Onlinesupermarkts Flink eine Schwachstelle entdeckt. Jene Lücke bot Unbefugten die Chance, auf Namen, Adressen, Telefonnummern, E-Mail-Adressen sowie die vier letzten Ziffern der verwendeten Kreditkarten von Kundinnen und Kunden zuzugreifen. Das hat das Kollektiv »Zerforschung« mit einem Blogeintrag  bekannt gemacht. Flink zufolge ist die Lücke inzwischen geschlossen.

Laut einem Bericht des RBB  waren die Daten so unzureichend geschützt, dass geübte Programmiererinnen und Programmierer innerhalb einer halben Stunde Zugriff auf die Daten bekommen konnten. Die Schwachstelle habe in der Programmierschnittstelle (API) der App gelegen. Das Team von Zerforschung hätte so nach eigenen Angaben »die Details von allen >4000 Bestellungen der letzten Monate« abfragen können. »Nicht nur unsere, sondern die aller Kund*innen.«

Sowohl die betroffenen Kundinnen und Kunden als auch der Landesdatenschutzbeauftragte seien über den Vorfall informiert, heißt es von Flink. Die Daten seien auch »nur sehr kurzfristig« zugänglich gewesen. Inzwischen habe man »ein renommiertes IT-Sicherheitsunternehmen beauftragt, einen externen Check durchzuführen«.

In mehreren Großstädten aktiv

Laut Flink gibt es bislang auch keinen Hinweis darauf, dass Unbefugte auf die Daten zugegriffen hätten. Das Team von Zerforschung kommentiert dazu: »Wie genau man das aber sicher ausschließen will, ist uns jedenfalls schleierhaft.«

Flink ist erst im September 2020 gegründet worden. Das Start-up kauft Waren im Auftrag von Kundinnen und Kunden ein und liefert sie mit Fahrradkurieren aus. Bisher ist das Unternehmen in Berlin, Hamburg, München und Nürnberg aktiv.

Lieferdienste haben in Deutschland und anderen Ländern während der Pandemie an Beliebtheit gewonnen, auch im Lebensmittelsektor: Im August beispielsweise stieg Delivery Hero, das Bestellungen bei Restaurants und Cafés ausliefert, in den Dax auf. Auch Flink profitiert von dem Boom: In der jüngsten Finanzierungsrunde hatte das Unternehmen rund 43 Millionen Euro eingesammelt, um expandieren zu können.

jlk/dpa