Lebensmittel-Lieferdienst Flink hat Nutzerdaten nicht geschützt

Sicherheitsforscher haben sich die Supermarkt-App Flink angeschaut und eine Schwachstelle gefunden. Daten von mehr als 4000 Kunden waren einsehbar.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 15 Beiträge

(Bild: Screenshot goflink.com)

Von
  • Eva-Maria Weiß

Name, Adresse, Telefonnummer, Mail-Adresse und die letzten vier Ziffern der Kreditkarte sowie die georderten Artikel: Das Kollektiv "Zerforschung" hat all diese Daten von Nutzern der Flink-App einsehen können. Inzwischen soll die Sicherheitslücke geschlossen sein.

Laut des Blogbeitrags der Sicherheitsforscher dauerte es keine halbe Stunde, bis sie Zugriff auf die Daten hatten. Fast so schnell wie sie ihren Testeinkauf auf eine Parkbank im Liefergebiet per Fahrradkurier gebracht bekommen haben. Die eigene sowie mehr als 4000 weitere Bestellungen von allen bisherigen Kundinnen und Kunden waren in einer orders-Query aufgelistet, auf die sie per offenem API zugreifen konnten.

Über die Schwachstelle hat das Team Flink gemeinsam mit dem rbb informiert. "Da wir den Schritt, Unternehmen über öffentlich zugängliche Kund*innen-Daten zu informieren, bislang noch nicht gehen mussten, haben wir diesmal ausprobiert, mit den Öffentlich-Rechtlichen zusammenzuarbeiten." Flink hat die Lücke bereits einen Tag später geschlossen. Gegenüber Zerforschung erklärte das Unternehmen, die Berliner Datenschutzbeauftragte informiert zu haben und umfassend kooperieren zu wollen.

In der E-Mail, die betroffenen Kunden zuging, soll Flink allerdings nur davon gesprochen haben, dass es möglich gewesen sein soll, dass Teile der Daten einzusehen waren – und als Beispiel Anschrift und E-Mail genannt haben. Zerforschung bemängelt, es fehle an Transparenz, man hätte besser alle Informationen nennen sollen und auch klar sagen, wessen Daten abgegriffen wurden. Sowohl den Kunden als auch der Datenschutzbehörde wurde nicht mitgeteilt, dass die Bestellungen eingesehen werden konnten.

"Wir finden: Wer mit personenbezogenen Daten arbeitet, muss diese ausreichend sichern. Start-ups können dabei keinen Welpenschutz für sich reklamieren", schreibt Zerforschung. Flink gibt es seit September 2020. Mit der App kann man Waren bestellen, die dann für einen eingekauft und per Fahrradkurier geliefert werden. Bisher ist der Dienst nur in Berlin, Hamburg, München, Düsseldorf, Köln und Nürnberg verfügbar. In der vergangenen Finanzierungsrunde konnte das Start-up 43 Millionen Euro einsammeln.

Lesen Sie auch

(emw)