Gearbest: Forscher warnt vor großem Datenleak bei chinesischem Online-Händler
Auf dem Server des Online-Händlers Gearbest lagen zeitweise 280.000 ungeschützte Kundendatensätze nebst Passwörtern im Klartext.
Angesichts des möglichen Datenlecks ist vom Shopping bei Gearbest momentan abzuraten.
(Bild: gearbest.com)
Dem israelischen Sicherheitsexperten Noam Rotem ist es nach eigenen Angaben gelungen, auf eine ungeschützte Kundendatenbank des bekannten chinesischen Online-Versandhändlers Gearbest (gearbest.com) zuzugreifen. Das geht aus einem Blogeintrag des Softwareherstellers vpnMentor hervor, mit dessen Forscherteam Rotem zusammenarbeitete.
In der Überschrift des Blogeintrags ist von "hunderttausenden Betroffenen" die Rede, im Text von 1,5 Millionen Datensätzen und "Millionen von Nutzern". Da sich die Datenbank aber wohl in mehrere Bereiche gliedert ist unklar, ob die Zahl der Datensätze auch die Zahl der Betroffenen abbildet. Auf eine Anfrage von heise online bezüglich der konkreten Zahl Betroffener hat vpnMentor bislang nicht geantwortet.
Unverschlüsselte Passwörter gefunden
Laut Ausführungen im Blog erfolgte der Zugriff im laufenden Monat. Die „vollkommen ungeschützte“ Datenbank enthalte vertrauliche Kundendaten. Neben vollständigen Namen, Geburtsdaten, Anschrift und weiteren Kontaktinformationen sowie IP-Adressen sollen dazu auch Ausweisnummern („national ID and passport information“), Zahlungsinfomationen, Bestellhistorien und unverschlüsselte (!) Passwörter gehören. Mit letzteren loggten sich die Forscher gar probeweise in zwei Accounts ein – wohl mit Erfolg, wie mehrere im Blogeintrag enthaltene Screenshots belegen sollen.
Gearbest ist eine Marke des börsennotierten E-Commerce-Unternehmens Globalegrow mit Sitz im chinesischen Shenzen. Das Sortiment des Online-Shops umfasst nach eigenen Angaben Produkte von mehr als 5000 Herstellern, die in mehr als 400 Länder und Regionen weltweit verschickt werden. Von der Beliebtheit der Shopseite zeugt auch deren Ranking in der AlexaTop 250.
Datenbank vermutlich immer noch ungeschützt
Laut Blogeintrag hat das Forscherteam mehrfach versucht, mit Globalegrow und Gearbest in Kontakt zu treten, um ihnen Zeit zu geben, die Datenbank abzusichern. Bis zum Zeitpunkt der Veröffentlichung ihrer Erkenntnisse am gestrigen Donnerstag erhielten sie offenbar keine Antwort.
Gearbests Datenbank sei nicht nur ungesichert, schreiben die Forscher, sondern liefere potenziellen kriminellen Akteuren auch ständigen Nachschub an frischen Daten. Die Sicherheitsprobleme beschränkten sich aber nicht nur auf die Gearbest-Website: Globalegrows gesamte Datenbank sei ungesichert und größtenteils auch unverschlüsselt. Die Forscher hätten via URLs Zugriff auf das Datenmanagementsystem des Unternehmens gehabt. Diese Art von Zugriff könnten Hacker etwa nutzen, um Informationen und Datenbankeigenschaften zu manipulieren.
Interessant ist in diesem Zusammenhang, dass Gearbest Sicherheitsforscher auf seiner Internetpräsenz ausdrücklich zur Suche nach Schwachstellen auffordert. Für das Auffinden kritischer Sicherheitslücken sollen demnach Prämien, so genannte "Bug Bounties" in Höhe von bis zu 5000 US-Dollar ausgezahlt werden.
Verstoß gegen eigene Sicherheitsrichtlinien
In seiner Privacy Policy betont das Unternehmen, Passwörter stets verschlüsselt zu speichern. "Sie selbst sind verantwortlich für die Sicherheit ihres Benutzernamens und Passworts", heißt es dort – gefolgt von dem Rat, ein starkes Passwort zu wählen und dieses regelmäßig zu ändern.
(Bild: https://www.gearbest.com)
Angesichts des vermuteten Sicherheitsvorfalls bei Gearbest (nebst dem Fund verschlüsselter Passwörter) sowie der sich in den letzten Monaten häufenden Meldungen über schlecht oder gar nicht geschützte Datenbanken auf den Servern großer Unternehmen klingt es recht anmaßend, Nutzern die alleinige Verantwortung für den Schutz ihrer Accounts zuzuschieben.
Bislang hat Gearbest den Hack nicht offiziell bestätigt. Auch unsere schriftliche Bitte um ein Statement blieb bislang unbeantwortet. Auch beim Passwort-Prüfdienst Have I Been Pwnd findet sich derzeit noch kein Hinweis auf das Datenleck. Wir werden diese Meldung aktualisieren, sofern es Neuigkeiten gibt.
Bis dahin ist von einer Neuregistrierung bei Gearbest aus Security-Perspektive dringend abzuraten. Dass eine Löschung des eigenen Kundenkontos auch gleich den Datenbank-Eintrag löscht, ist zu bezweifeln. Allerdings sollten Kunden, die hinterlegte Passwörter auch für andere Dienste nutzen, diese vorsorglich (zügig) ändern.
Update 16.03.19, 21:22: Mittlerweile hat Gearbest bei Facebook ein offizielles Statement veröffentlicht. Das Unternehmen bestätigt das Datenleck zumindest teilweise: Betroffen seien insgesamt 280.000 Accounts von Neu- und Bestandskunden, die sich zwischen dem 1. und 15. März registriert beziehungsweise in diesem Zeitraum etwas bestellt hätten. Mittlerweile seien die Server abgesichert; Neukunden würden per E-Mail kontaktiert und ihre Passwörter deaktiviert werden.
Weitere interessante Informationen zum Thema finden Sie hier:
- Kommentar: Steckt Euch Euren Ändere-dein-Passwort-Tag sonstwohin!
- Nach dem Passwort-Leak: Eigene Passwörter lokal checken
- Günstig, aber unfair? Elektronik direkt aus China bestellen
(ovw)
