Das sollte nun der (hoffentlich) letzte Artikel zum Thema GearBest in diesem Jahr bleiben, aber leider hören die Negativschlagzeilen nicht auf.
Seit einiger Zeit ist bekannt, dass einige tausend Nutzerdaten von GearBest in die Hände eines Dritten gelangt sind. Deshalb solltet ihr unbedingt eure Passwörter ändern.
Dies gilt auch für Seiten, die ein identisches Passwort zum einloggen nutzen. Sicher ist sicher!
Wurde GearBest gehackt?
Es ist leider nicht ganz klar, wie die Daten an die Öffentlichkeit geraten sind und Ich möchte auch keine Verschwörungstheorien in den Raum werfen. Fakt ist, dass Nutzerdaten eigentlich, auch im internen System, verschlüsselt sein sollten, damit Dritte und Mitarbeiter diese nicht einfach stehlen können.
Darauf aufmerksam wurde der Reddit-Nutzer Jamesdownwell, dessen Originalpost im GearBest Subreddit leider gelöscht wurde. Unter /r/xiaomi findet ihr allerdings noch alle Details und die anschließende Diskussion zum Fall.
[tabs]
[tab title=“Originalpost“ id=“[object Object]
Every now and then I like to Google my email address as some sort of random security check. I got an unusual hit on Friday, a Pastebin paste with my email address, password and order information for an order I placed with Gearbest amongst hundreds of other customers.
I immediately contacted them through Customer Support and Facebook. Their Customer Support didn’t answer until the next day, clearly not understanding the request, despite me including a screenshot of the online leak. I replied with a link and they didn’t respond until a day later saying that they „take matters of security very seriously“ they „will investigate“ and ever so generously donated $10 credit to my account.
So obviously, I think that they’re going to send out an email to all of their customers, letting them know their information has been compromised ASAP. Well, no. They’ve done nothing. The information is still online and if you log in using this information you will find the home address of the user as well as a password which is very likely reused on other websites.
This is perhaps the most careless approach to online security I have ever experienced and as Gearbest is popular worldwide, it’s important that all customers know ASAP.[/tab]
[/tabs]
Das erschreckende ist, dass bereits mehrere Links zu pastebin.com führen, die viele tausende Nutzerdaten enthalten. An dieser Stelle möchte ich (im Vergleich zu anderen Blogs) keine Listen veröffentlichen und jeden, der diesen Artikel liest, dazu bitten, die Passwörter zu ändern.
Auch auf Seiten GearBests habe ich mitbekommen, dass endlich reagiert wird. Einige Accounts wurden (angeblich) geschlossen und andere werden wohl darauf hingewiesen, dass ihr Passwort geändert werden sollte!
Leider ist das offizielle Statement vom Kundensupport etwas verwirrend. GearBest behauptet, dass die Passwortlisten von anderen Webseiten stammen und dann versucht wurde, diese bei GearBest mit der Brute-Force-Methode einzugeben. Möglich, aber vielleicht nicht das, was sich der Kunde wünschen wollen würde. Hier das vollständige Statement:
Welche Version auch immer die richtige sei, ich wiederhole nochmals: Ändert euer Passwort!
Dies ist der erste „Hack“ oder Passwortleak, der offiziell bei Chinashops festgestellt wurde. Hoffen wir, dass dies zu besseren Sicherheitsmaßnahmen führt und in Zukunft solche Probleme nicht mehr auftreten. An welche Version glaubt ihr?
Da kann man noch so ein unknackbares Passwort haben, wenn die Dienste selber ihre Datenbanken „veröffentlichen“, nützt das nichts.
Auf meine bei GB genutzte Mailadresse gibt es nur eine bekannte Kompromittierung (der Diebstahl bei Adobe, vor über zehn Jahren), das ist schon verjährt. Trotzdem werde ich auch auf anderen meiner Adressen mittlerweile von jedem drittklassigen Spammer schon persönlich angesprochen.
Entweder verkaufen die Shops (nicht nur China-) die Daten, merken nicht mal wenn sie die verbummeln oder informieren ihre Kunden nicht über Einbruchdiebstähle?
Meine Rede ist schon seit einigen Jahren, dass sich der E-Commerce dringend auf eine sichere LogIn-Methode wie den Hardware-Sicherheitsschlüssel einigen muss. Sonst kauft keiner mehr mit gutem Gefühl im Internet. Paypal hatte mal einen guten Ansatz mit seiner Karte zum Generieren eines Schlüssels, setzt leider mittlerweile nur noch auf die genauso kompromittierbare SMS. Von den ganzen Sicherheitsf(l)achleuten hört man nichts sinnvolles.
Ich hab öfter mit Passwortrecovery zu tun, als mir lieb ist, und da muss echt was passieren!
Achtung Betrug!Mein PW zu ändern kann ich mir sparen denn…
Gearbest sperrt einfach das Gearbest Wallet (70 € aus einer Gutschrift für 6,5 Wochen Lieferverzögeung beim Zoll-Desaster mitte Oktober 17 ) begründet dies mit einer an den Haaren herbeigezogenen Begründung und spielt auf Zeit. Letzendlich bekommt man vom Support empfohlen einen neuen Account zu eröffnen. Dann würde man als Kompensation 200 Gearbest Points bekommen.What!!!
Also verarschen kann ich mich selbst. Dafür brauche ich keine Rip-Off-Chinashops.
Never ever Gearbest again.
Ein bedauerlicher Einzelfall, der mit dieser News nichts zu tun hat. Zumal die Aktualität der Account-Liste im Netz durchaus angezweifelt wird….