Wir benutzen Cookies, um die Nutzerfreundlichkeit der Website zu verbessern. Durch deinen Besuch stimmst du der Datenschutzerklärung zu.
Alles klar!
BASIC thinking Logo Dark Mode BASIC thinking Logo Dark Mode
  • TECH
    • Apple
    • Android
    • ChatGPT
    • Künstliche Intelligenz
    • Meta
    • Microsoft
    • Quantencomputer
    • Smart Home
    • Software
  • GREEN
    • Elektromobilität
    • Energiewende
    • Erneuerbare Energie
    • Forschung
    • Klima
    • Solarenergie
    • Wasserstoff
    • Windkraft
  • SOCIAL
    • Facebook
    • Instagram
    • TikTok
    • WhatsApp
    • X (Twitter)
  • MONEY
    • Aktien
    • Arbeit
    • Die Höhle der Löwen
    • Finanzen
    • Start-ups
    • Unternehmen
    • Marketing
    • Verbraucherschutz
Newsletter
Font ResizerAa
BASIC thinkingBASIC thinking
Suche
  • TECH
  • GREEN
  • SOCIAL
  • MONEY
  • ENTERTAIN
  • NEWSLETTER
Folge uns:
© 2003 - 2025 BASIC thinking GmbH
Gorillas, 10-Minuten-Lieferdienst, 10-Minuten-Lieferdienste, Gorillas Doordash
MONEY

Lieferdienst gesucht? Lass die Finger von Gorillas

Christian Erxleben
Aktualisiert: 17. Februar 2025
von Christian Erxleben
Gorillas
Teilen

Dein Supermarkteinkauf ist innerhalb von zehn Minuten bei dir zuhause – und das zu Preisen, die du auch im Supermarkt zahlst. Das verspricht dir Gorillas. Doch mit dem Datenschutz nimmt es der Lieferdienst nicht ernst – wie Sicherheitsforscher zeigen.

200.000 Daten von Gorillas-Nutzern und Fahrern öffentlich einsehbar

Der Lieferdienst Gorillas verspricht, über 1.000 Produkte zu Supermarktpreisen innerhalb von nur zehn Minuten nach deiner Bestellung zu dir nach Hause zu liefern. Doch so beliebt das Angebot des Start-ups ist, so unsicher ist offensichtlich die technische Infrastruktur.

Mit ein paar für Experten simplen Tests und Anfragen hat das IT-Kollektiv „Zerforschung“ eine enorme Sicherheitslücke bei Gorillas aufgedeckt.

UPDATE: Das Tech-Briefing

Du willst nicht abgehängt werden, wenn es um KI, Green Tech und die Tech-Themen von Morgen geht? Über 10.000 Vordenker bekommen jeden Tag die wichtigsten News direkt in die Inbox und sichern sich ihren Vorsprung.

Nur für kurze Zeit: Anmelden und mit etwas Glück Apple AirPods 4 gewinnen!

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung. Beim Gewinnspiel gelten die AGB.

  • 5 Minuten pro Tag
  • 100% kostenlos
  • Exklusive PDF-Guides

So war die Vereinigung aus Programmierer:innen und Informatiker:innen dazu in der Lage, die Daten aus über einer Million Bestellungen einzusehen. Davon sind über 200.000 Kund:innen, aber auch Fahrer:innen des Unternehmens betroffen.

Diese Daten waren bei Gorillas einsehbar

Durch die Abfrage der Zugangskennung (JSON Web Token) in Kombination mit einem GraphQL-Client hat „Zerforschung“ die folgenden Informationen erhalten:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Bestelldetails
  • Ablaufdaten von Kredikarten
  • Teilweise Fotos von Häusern und Klingelschildern
  • Name und Telefonnummer der zuständigen Fahrer:in

Da sich Kund:innen bei Gorillas nicht nur Lebensmittel bestellen können, sondern auch Gebrauchsmittel des täglichen Bedarfs, ist die Sicherheitslücke noch gravierender. Oder würdest du dir wünschen, dass im Netz einsehbar ist, ob und wann du dir einen Schwangerschaftstest bestellt hast?

Zugriff auf E-Mail-Verteiler und internen Slack-Chat

Doch damit nicht genug: Über andere (offene) Schnittstellen und aufgrund von fehlenden Sicherheitsmaßnahmen waren die Mitglieder von „Zerforschung“ in der Theorie noch zu viel tiefgreifenderen Eingriffen in der Lage.

So hätten sie beispielsweise die Möglichkeit gehabt, Nachrichten in den internen Slack-Chats von Gorillas an Mitarbeiter:innen zu verschicken.

Ebenso ungeschützt war das E-Mail-System, auf das der 10-Minuten-Lieferdienst setzt, um die eigenen E-Mails und Newsletter in die Postfächer der Kund:innen zu schicken.

Eine gefährliche Kombination

Wer nun die genannten Schwachstellen in Verbindung setzt, erkennt das große Gefahrenpotenzial. „Wir kennen die Daten aller Kund:innen samt ihrer Bestellungen und können E-Mails im Namen von Gorillas schreiben“, erklärt deshalb auch „Zerforschung“ in der Analyse.

Die Forscher:innen zeigen anhand einer Beispiel-E-Mail, wie authentisch eine Anfrage von Kriminellen an nichts ahnende Kund:innen von Gorillas aussehen könnte:

Gorillas
So täuschend echt könnte eine gefälschte Gorillas-Mail aussehen. (Foto: Screenshot / Zerforschung)

Weiter heißt es dann:

Da die Domains gorlllas.io und goriilas.io noch frei sind, würden sich hier sogar vertraut aussehende Domains für die Zahlung nutzen lassen. Allerdings sind es Menschen mittlerweile sowieso gewöhnt, auf verschiedenste Zahlungsanbieter umgeleitet zu werden.

Fest steht: Wir würden drauf reinfallen.

Diesem Fazit würden wir uns anschließen.

Gorillas schließt Sicherheitslücken, Fragen bleiben

Nachdem das IT-Kollektiv „Zerforschung“ seine Erkenntnisse mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie dem NDR und dem Rbb geteilt hatte, reagierte der 10-Minuten-Lieferdienst umgehend.

Auf Nachfrage teilte Gorillas gegenüber Medien mit, dass die entsprechenden Sicherheitslücken inzwischen geschlossen worden sind. Außerdem seien keine persönlichen Daten von Kund:innen veröffentlicht worden.

Nichtsdestotrotz stellt sich die Frage, wieso es „Zerforschung“ überhaupt möglich war, derart viele personenbezogene Daten abzugreifen und zugleich in die internen und externen Kommunikationssysteme des Unternehmens einzugreifen.

Datenschutz – das zeigt auch dieser Fall wieder einmal – ist in der freien Wirtschaft offenbar kein erstrebenswertes Ziel.

Auch interessant:

  • Bildergalerie: So arbeitet der Lieferdienst Deliveroo in London
  • Auch Aldi liefert bald frische Lebensmittel direkt nach Hause
  • Delivery: Das steckt hinter dem Megatrend zur Lebensmittellieferung
  • Lebensmittel online kaufen: Bei diesen 3 Anbietern ist das möglich
Kleines Kraftwerk

Anzeige

STELLENANZEIGEN
Junior Social Media Manager (m/w/d)
Thomas Philipps GmbH & Co.KG in Melle
Werkstudent:in (m/w/d)Online Marketing & ...
Zimmer + Rohde GmbH in Oberursel (Taunus)
Digital Marketing Manager (m/w/d)
IhreApotheken GmbH & Co. KGaA in Troisdorf
Praktikum Social Media Marketing (im Ausbildu...
AXA Konzern AG in Köln
Praktikum – Content Marketing Analytics...
ZEISS in Oberkochen (Baden-Württemberg)
SEA-Manager (w/m/d) – befristet
KOS GmbH & Co. KG in Schönefeld

Du willst solche Themen nicht verpassen? Mit dem BASIC thinking UPDATE, deinem täglichen Tech-Briefing, starten über 10.000 Leser jeden Morgen bestens informiert in den Tag. Jetzt kostenlos anmelden:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

THEMEN:DatenschutzE-MailSlackStart-ups
Teile diesen Artikel
Facebook Flipboard Whatsapp Whatsapp LinkedIn Threads Bluesky Email
vonChristian Erxleben
Folgen:
Christian Erxleben arbeitet als freier Redakteur für BASIC thinking. Von Ende 2017 bis Ende 2021 war er Chefredakteur von BASIC thinking. Zuvor war er als Ressortleiter Social Media und Head of Social Media bei BASIC thinking tätig.
Kleines Kraftwerk

Anzeige

EMPFEHLUNG
Online-Speicher Internxt
Einmal zahlen, ein Leben lang Online-Speicher erhalten
Anzeige TECH
UPDATE: DAS TECH-BRIEFING

Jeden Tag bekommen 10.000+ Vordenker von uns die wichtigsten Tech-News direkt in die Inbox. Abonniere jetzt dein kostenloses Tech-Briefing:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

LESEEMPFEHLUNGEN

Ein Reisender am Bahnhof Frankfurt am Main in der Abendsonne.
MONEY

Die gefährlichsten Bahnhöfe in Deutschland

BASIC thinking UPDATE Newsletter
TECH

Neues Format, exklusive Inhalte: UPDATE-Newsletter wird eigenständiges Produkt

E-Rechnung
AnzeigeMONEY

E-Rechnung Studie 2025: Deutschland stellt um – aber viele sind noch nicht bereit

Schatten-KI Shadow AI Unternehmen Mitarbeiter Künstliche Intelligenz
MONEYTECH

Gefährlich effizient: Wie Schatten-KI deutsche Unternehmen unterwandert

Eine Eurowings-Maschine mit Avis-Lackierung im Sonnenuntergang am Flughafen Nürnberg.
MONEY

Die besten Flughäfen in Deutschland

deutsche Städte Zukunft Zukunftsatlas
MONEYTECH

Diesen deutschen Städten blüht die rosigste Zukunft

Mehr anzeigen
Folge uns:
© 2003 - 2025 BASIC thinking GmbH
  • Über uns
  • Mediadaten
  • Impressum
  • Datenschutz
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?