Dringend! Unbedingt euer GearBest-Passwort (und alle Duplikate dieses Passworts) wechseln.
Wir berichteten bereits über einen Fall, bei dem Passwörter von GearBest geleakt wurden. Das Team von VPNMentor hat nun eine noch haarsträubendere Sicherheitslücke gefunden und Zugriff zu über 1,5 Millionen Nutzerdaten inklusive Password, E-Mail, Adresse und teilweise Identifikationsdokument-Nummer.
Schlimmer noch ist, dass GearBest nach mehreren Tagen und Anfragen keine Rückmeldung gab, sodass sich das Team an die Öffentlichkeit wendete. Es ist unklar, ob andere Hacker, mit deutlich düstereren Intentionen, diese Lücke bereits ausnutzen konnten.
Das Problem soll nun laut GearBest behoben worden sein
Welche Daten wurden geleakt?
Im Backend setzt GearBest Apache Kafka ein, ein Open-Source-Projekt um Datenströme verschiedener Datenbanken und Projekte zu verarbeiten. Diese füttern dann an ein ERP-System mit verschiedenen Modulen, welches sehr wahrscheinlich auf eigene Faust aus einem Open-Source-Projekt entstanden ist.
Die Whitehat-Hacker von VPNMentor haben nun nicht nur Zugriff auf diverse Datenbanken bekommen, sondern konnten direkt Kafkas Suchfunktion nutzen, um Werte zu filtern und exportieren. Laut Aussagen dieser sind so viele Personendaten vorhanden, dass Identitätsdiebstahl möglich wäre.
Schlimmer noch ist, dass der Zugriff auf das System Hackern ermöglicht, dass interne System zu manipulieren und potentiell lahm zu legen. Unter anderem wurden folgende Daten gefunden:
- Login e-Mail & Passwörter
- Name, Anschrift, Geburtstag & Telefonnummer
- Bestellnummer, -Inhalt,
- Bezahlmethode & Details (!)
- Reisepass- und Personalausweisnummer
- IP-Adresse
Hierbei handelt es sich auch nicht um veraltete Daten, sondern aktuelle und stetig aktualisierte Informationen. Anscheinend gibt es teilweise Verschlüsselungsversuche, so wie GearBest es in ihren eigenen AGBs behauptet, aber diese treffen nur für einen Bruchteil der Einträge zu.
Kunden, die mit Drittanbieter-Software wie z.B. Boleto (Brasilien) oder Oxxo (Mexiko) bezahlen, könnten von Hackern bestohlen werden, da GearBest alle Details und Rechnungen mit Barcode unverschlüsselt auf ihrem Server liegen lässt. Hier hätten Millionenbeträge gestohlen und manipuliert werden können.
Sicherheit mit Marke Eigenbau
Misstrauen gehört zur chinesischen Businesskultur und so ist es nicht selten, dass Firmen ihre eigene Software entwerfen und diverse Open-Source-Projekte zusammenflicken.
In der Vergangenheit haben Huawei-Mitarbeiter Passwörter auf Github veröffentlicht, Sensetime wurde entlarvt Microsoft Azure Services zu verkaufen und über 7000 ungeschützte Datenbanken wurden im chinesischen Netz gefunden. Einige dieser gehören zu Regierungsnahen oder Multi-Milliarden Dollar schweren privaten Firmen.
Ich habe selbst vor kurzem über einen Fall berichtet, in dem 1,8 Millionen Frauen in einer öffentlichen Datenbank mit dem Label „Gebärfähig“ versehen wurden.
In China ist es nicht üblich zuletzt Priorität auf die Sicherheit zu setzen, wenn Unternehmen stark skalieren. Ob man sich dann allerdings in diversen bezahlten PR-Webseiten selbst als Big Data Company bezeichnen sollte, halte ich allerdings für sehr fragwürdig.