Datenleck bei Lieferdienst Gorillas: Millionen Bestelldaten waren abrufbar

Das Kollektiv Zerforschung, das schon Lücken an anderen Lieferdiensten fand, hat sich das Berliner Start-up Gorillas vorgenommen und wurde ebenfalls fündig.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 38 Beiträge

(Bild: Gorillas)

Von
  • Andreas Wilkens

Über eine Million Bestelldaten von 200.000 Kundinnen und Kunden, die beim Lieferdienst Gorillas bestellt haben, waren öffentlich abrufbar. Das hat das Kollektiv Zerforschung herausgefunden. Die Datensätze enthielten Adressatennamen, Telefonnummer, E-Mail-Adresse und physikalische Adresse der Bestellungen sowie die bestellten Produkte und das Ablaufdatum der Kreditkarte, falls damit bezahlt wurde.

Zerforschung hatte im März bereits ein Datenleck beim Lieferdienst Flink offenbart, hier waren 3700 Datensätze betroffen. Dabei konnte das Kollektiv über eine GraphQL-API auf eine order-Query zugreifen. Diese Lücke soll geschlossen sein. Auch dem Hamburger Anbieter Bringoo hatte Zerforschung eine Datenlücke nachgewiesen.

Im Fall Gorillas hat Zerforschung nach eigenen Angaben die Lücken dokumentiert und an das CERT-Bund gemeldet. Dieser habe sie überprüft und an Gorillas übermittelt. Der Lieferdienst habe die beschriebenen Lücken nach eigener Aussage inzwischen geschlossen und auch die Kundschaft informiert sowie die Lieferanten und Lieferantinnen, die ebenfalls von dem Problem betroffen sind. "Nach bestem Wissen des Unternehmens wurden keine Daten entwendet oder anderweitig missbraucht", lautet ein Gorillas-Zitat auf berlin.de, der Heimat des Lieferdienstes.

Auch beim Gorillas-Datenleck spielte GraphQL eine Rolle während der Recherche des Kollektivs. "Um auf die Abfragen nach den Bestellungen zugreifen zu können, benötigt man eine Zugangskennung (JSON Web Token)", erläutert Zerforschung. Wer sich in der App einloggt, bekommt eine Kennung dieser Art. "In der Erwartung, dass wir damit maximal unsere eigenen Daten abfragen können, haben wir unsere Zugangskennung aus dem App-Datenverkehr genommen und in unseren GraphQL-Client eingegeben. Und tatsächlich bekamen wir Daten. Nicht nur unsere, sondern alle." Im vorigen Verlauf der Recherche bekam das Kollektiv auch Fotos von Haustüren und Klingelschildern zu sehen.

Die Daten, die offen lagen, könnten die Grundlage für ein perfides Angriffsszenario bilden, erläutert Zerforschung. "Wir kennen die Daten aller Kunden und Kundinnen samt ihrer Bestellungen und können E-Mails im Namen von Gorillas schreiben." In denen könnten sie beispielsweise dazu verleitet werden, eine Rechnung zweimal zu bezahlen. "Da die Domains gorlllas.io und goriilas.io noch frei sind, würden sich hier sogar vertraut aussehende Domains für die Zahlung nutzen lassen", meint das Kollektiv.

Gorillas weist als Liefergebiete zwölf deutsche Städte sowie Städte in den Niederlanden, Großbritannien und Frankreich aus. Die Einkäufe aus einem Angebot von 1000 Produkten verspricht Gorillas, innerhalb von zehn Minuten zu liefern. In Finanzkreisen wird gemunkelt, das 2020 in Berlin gegründete Start-up werde mit einer Milliarde Euro bewertet.

(anw)