A food delivery driver for Foodora cycles in downtown Milan

© REUTERS / STEFANO RELLANDINI

Digital Life
06/30/2020

Zehntausende Österreicher von Foodora-Datenleck betroffen

Daten von 727.000 Kunden des Essenslieferdienstes in 14 Ländern wurden 2016 gestohlen, u.a. Namen, Adressen und Standorte.

von David Kotrba

Wie vor kurzem bekannt wurde, gab es beim Essenslieferdienst Foodora 2016 ein großes Datenleck. Angaben zu 727.000 Kunden in 14 Ländern wurden dabei entwendet, darunter Namen, Adressen, Telefonnummern, teilweise Standortdaten und gehashte Passwörter. Der Datensatz wurde am 19. Mai in einem Online-Forum gepostet, das bekannt für die Verbreitung von gestohlenen Daten ist. Dort stießen Sicherheitsforscher darauf.

Vorfall bestätigt

Delivery Hero, das Mutterunternehmen von Foodora, hat daraufhin eine offizielle Stellungnahme zu dem Vorfall abgegeben, berichtet Data Breach Today: "Unglücklicherweise können wir bestätigen, dass wir ein Datenleck identifiziert haben, das persönliche Daten aus dem Jahr 2016 betrifft. Die Daten stammen aus mehreren Ländern unserer aktuellen und ehemaligen Märkte." Diese Länder sind Australien, Deutschland, Finnland, Frankreich, Hongkong, Italien, Kanada, Niederlande, Norwegen, Schweden, Singapur, Spanien, die Vereinigten Arabischen Emirate und Österreich.

Unterschiede bei Verschlüsselung

In Österreich sind laut Delivery Hero rund 24.000 ehemalige Foodora-Kunden betroffen. Wenn man früher selbst Foodora-Kunde war, kann man auf der Webseite Have I been pwned überprüfen, ob die eigene E-Mail-Adresse im Datensatz vorhanden ist.

Der online veröffentlichte Datensatz enthält jeweils zwei Dateien pro Land, die mit "Kundenadressen" und "Kunden" gekennzeichnet sind. In letzteren Dateien sind auch die verschlüsselten Kundenpasswörter gespeichert. Zum Erstellen der Hash-Werte der Passwörter wurde ein schwer zu knackendes Verfahren gewählt (bcrypt Faktor 11). Für einige ältere Passwörter wurde allerdings der MD5-Algorithmus gewählt, der für Cyberkriminelle leichter zu knacken sein sollte.

"Versauen Sie es nicht"

In den Daten ebenso enthalten sind Anmerkungen, die Kunden zu ihren Foodora-Bestellungen angefügt haben, etwa in der Art: "Läuten sie bei 4901 an der Gegensprechanlage. Ein guter Freund ist hier zum Abendessen. Ich habe gehört, Ihr Service ist von herausragender Qualität und gottseidank können sie Essen in unter 30 Minuten liefern. Das ist Ihre Bewährungsprobe. Versauen Sie es nicht."

Eingestellt in Österreich

Foodora ist momentan nur noch in wenigen der genannten Länder aktiv. In den meisten anderen Ländern verschwand die Marke in den vergangenen zwei Jahren, darunter auch in Österreich. Im Februar 2019 wurde Foodora in Österreich von Delivery Hero aufgegeben.

Das Mutterunternehmen beschränkt sich seitdem hierzulande auf die Marke Mjam. Foodora-Fahrradboten wurden zu Mjam übernommen. Während es also keine aktiven Foodora-Kunden mehr in Österreich gibt, ist dennoch Vorsicht angesagt: Wer früher bei Foodora etwa ein Passwort verwendet hat, das er auch bei anderen Diensten verwendet, der sollte dieses Passwort ändern.

Daten in fremden Händen

Delivery Hero arbeitet unterdessen an der Aufarbeitung des Vorfalls. Wie das Infosecurity Magazine berichtet, wurde eine "sorgfältige interne Untersuchung" gestartet, um herauszufinden, wie es zu dem Datenleck kommen konnte. Von Foodora selbst bekam die futurezone folgende Information über bisherige Erkenntnisse: "Die Daten können auf ein Backup einer Datenbank (RDS-Instanz) zurückverfolgt werden. Die Datenbank war Teil eines temporären Systems, das für die Geschäftstrennung von foodora und Foodpanda im Jahr 2015 verwendet wurde. Leider sind keine Protokolldateien verfügbar, die eine detaillierte Analyse des Verstoßes ermöglichen. Nach sorgfältiger Prüfung aller jetzt gesammelten Beweise halten wir es für wahrscheinlicher, dass die Daten aufgrund der Bereitstellung einer Sicherungsdatei verloren gegangen sind."

Strafzahlung droht

Laut der europäischen Datenschutzgrundverordnung könnte großes Ungemach auf das Unternehmen zukommen. Wie Security Boulevard berichtet, könnten Strafzahlungen in der Höhe von bis zu 4 Prozent des weltweiten jährlichen Umsatzes von Delivery Hero fällig werden. In der Vergangenheit musste Delivery Hero bereits Strafzahlungen leisten. 2019 etwa verhängte die deutsche Datenschutzbehörde bereits eine Strafe von knapp 200.000 Euro über das Unternehmen.

Kunden informieren

Datenschutzbehörden in den aktuell betroffenen Ländern wurden über den Vorfall informiert. In den kommenden Wochen will man auch existierende und ehemalige Foodora-Kunden über den Datendiebstahl aufklären. Foodora teilt der futurezone dazu mit: "Im November 2019 haben wir die foodora Plattform mit der mjam Plattform fusioniert und im Anschluss die Kundendaten aller Foodora-Benutzerkonten entsprechend der DSVGO-Richtlinien anonymisiert und nicht aufbewahrungspflichtige Informationen gelöscht. Deswegen ist es uns leider nicht möglich, einzelne Kunden der ehemaligen foodora Plattform in Österreich zu kontaktieren und auf das Datenleck aufmerksam zu machen. Wir arbeiten derzeit an einer Seite, die alle Informationen zu diesem Thema bereitstellt und die wichtigsten Fragen der ehemaligen Foodora-Kunden beantwortet. Natürlich können uns die Kunden auch jederzeit zu diesem Thema erreichen und wir versuchen, die individuellen Anfragen so umfangreich wie möglich zu lösen."