Passwörter im Klartext: Schweres Datenleck bei China-Händler Gearbest

    18. März 2019, 11:03
    8 Postings

    1,5 Millionen Datensätze sollen "komplett ungesichert" gewesen sein – Händler spricht von bis zu 280.000 Betroffenen

    Von Kleidung bis hin zu exotischen Smartphones und Markengeräten hat der Händler Gearbest allerlei Produkte in seinem Katalog. Der auf 18 Domains sitzende Onlineshop ist Teil der Globalegrow-Gruppe, die 2017 einen Jahresumsatz von 1,5 Milliarden Dollar erzielte. Diverse Gadgets und andere Produkte liefert man mittlerweile auch schon aus Lagern in der EU, um Käufern die Mühen der Zollabwicklung zu ersparen.

    Doch offenbar gibt es auf der Plattform ein veritables Sicherheitsproblem. Sicherheitsforscher von VPN Mentor konnten auf einen Server zugreifen, auf dem 1,5 Millionen Datensätze gespeichert gewesen sein sollen. In den "völlig ungesicherten" Beständen sollen praktisch alle Informationen der Nutzer einsehbar gewesen sein.

    Sensible Daten enthalten

    Laut dem Bericht stehen darin etwa E-Mail-Adressen, Lieferadressen, Passnummern und auch das Passwort im Klartext. Das bringt nicht nur die Nutzerkonten selbst in Missbrauchsgefahr, sondern kann in der Folge auch die Sicherheit anderer Accounts der User gefährden – etwa wenn ein Passwort wiederverwendet wird oder Informationen wie die Ausweisnummer für Sicherheitsfragen bei der Rücksetzung eines Accounts abgefragt werden. Zur Verifizierung loggten sich die Forscher testweise und mit Erfolg in zwei Konten ein.

    Ebenso sind alle Bestellungen der Nutzer angeführt, bis hin zur gewählten Farbe einzelner Artikel. Das könnte gefährliche Konsequenzen für sie haben, wie man etwa unter Verweis auf die Informationen eines pakistanischen Kunden erklärt, der sich Sexspielzeug bestellte. In Bezug auf die sexuelle Entfaltung herrschen in dem Land sehr strenge Gesetze, die etwa vorehelichen Sex und Ehebruch unter schwere Strafen stellen.

    Wenig begeistert zeigt man sich auch vom Umgang, den Gearbest angesichts der Entdeckung des Lecks zeigte. Denn laut VPN Mentor erhielt man vom Unternehmen keinerlei Rückmeldung, obwohl man mehrfach auf das Problem aufmerksam machte.

    Gearbest schiebt Schuld auf externe Software

    Mittlerweile hat der Händler gegenüber "Android Police" eine Stellungnahme veröffentlicht. Man habe eine Untersuchung eingeleitet und festgestellt, dass die eigenen Server gut gesichert seien. Allerdings nutze man ein externes Tool für effizienteres Datenmanagement. Dieses speichere Informationen auf einem anderen Server, allerdings nur für maximal drei Tage. Diese Server seien normalerweise durch "mächtige Firewalls" geschützt, um fremden Zugriff zu verhindern. Am 1. März habe jedoch ein Mitarbeiter des Sicherheitsteams diese Firewalls aus unbekanntem Grund abgeschaltet.

    Dadurch könnten Daten von Nutzern, die zwischen 1. und 15. März Bestellungen aufgegeben haben, betroffen sein. Insgesamt geht man von maximal 280.000 Betroffenen aus. Man habe das Problem binnen zwei Stunden nach Entdeckung behoben und kündigt zudem weitere Sicherheitsmaßnahmen an. Betroffene Kunden sollen per E-Mail informiert werden.

    Der Vorfall wirft kein gutes Licht auf die Datenpraxis von Gearbest, auch wenn man mittlerweile reagiert hat. Denn das Speichern von Userpasswörtern im Klartext, egal wie gut die jeweilige Datenbank nach außen abgesichert ist, gilt längst als absolutes No-Go. (red, 18.3.2019)

    • Wer zwischen 1. und 15. März bei Gearbest bestellt hat, sollte zumindest sein Passwort dort ändern.
      foto: gearbest

      Wer zwischen 1. und 15. März bei Gearbest bestellt hat, sollte zumindest sein Passwort dort ändern.

    Share if you care.