© Gearbest

Digital Life
03/15/2019

Schweres Datenleck bei chinesischem Online-Händler Gearbest

Die Datenbanken des bekannten Online-Händlers Gearbest lagen unverschlüsselt im Netz. Nutzer sollten rasch ihre Passwörter ändern.

Millionen Nutzer- und Bestelldaten des chinesischen Online-Händlers Gearbest lagen offen im Netz. Das hat der Sicherheitsforscher Noam Rotem entdeckt. Rotem fand einen Elasticsearch-Server des Online-Händlers, der ohne Passwort genutzt werden konnte. So war es jedem Nutzer, dem die Adresse des Servers bekannt war, möglich, Kundendaten, Bestellungen und Zahlungsinformationen zu durchsuchen. Die Kundendaten beinhalten unter anderem Namen, Adressen, Telefonnummern und E-Mail-Adressen.

Gearbest ist einer der bekanntesten Online-Händler aus China und wird hierzulande oftmals genutzt, um Technik-Produkte von Marken wie Xiaomi, Oppo oder Lenovo zu bestellen. Der börsennotierte Mutterkonzern Globalegrow besitzt neben Gearbest auch die auf Kleidung spezialisierten Online-Händler Dresslily, Rosegal, Zaful und Sammydress. Ob diese auch vom Hack betroffen sind, ist unklar. Rotem konnte neben der Gearbest-Datenbank aber auch auf den Kafka-Server von Globalegrow zugreifen, der die Datenströme zwischen den Servern des E-Commerce-Konzerns verwaltet.

Millionenstrafe droht

Sowohl Globalegrow als auch Gearbest wurden von Rotem mehrmals kontaktiert, reagierten jedoch nicht darauf. Das Unternehmen betreibt eigentlich ein Bug-Bounty-Programm, für das Melden von Sicherheitslücken sollen bis zu 5000 US-Dollar Belohnung bezahlt werden. Es ist unklar, wie lange die Daten offen im Netz lagen und ob diese unerlaubt abgerufen wurden. Bei der Untersuchung durch den Sicherheitsforscher konnten jedoch 1,5 Millionen Datensätze entdeckt werden. Besonders heikel sei jedoch der Bestellverlauf.

„Die Inhalte vieler Bestellungen legen einiges offen“, sagt Rotem, der unter anderem fürchtet, dass Bestellungen von Sex-Spielzeugen und anderen intimen Gegenständen in manchen Ländern zu Verfolgungen und rechtlichen Problemen führen könnten. Des Weiteren sollen sich auch andere heikle Daten, wie Passnummern und Ausweisinformationen, in den Datensätzen befinden, Verschlüsselung soll kaum zum Einsatz gekommen sein.

Obwohl Gearbest seinen Sitz im chinesischen Shenzhen hat, drohen dem Online-Versandhändler durch seine Aktivität in Europa hohe Strafen auf Basis der DSGVO. Diese sieht bei schweren Datenschutzverstößen Strafen von bis zu vier Prozent des Jahresumsatzes vor. 2017 setzte Eigentümer Globalegrow 1,48 Milliarden US-Dollar um.