Wirtschaft

Lieferdienst gesucht? Lass die Finger von Gorillas

7. Mai 2021
Gorillas, 10-Minuten-Lieferdienst
Daten von 200.000 Gorillas-Kunden und Fahrern waren im Internet abrufbar. (Foto: Gorillas)
geschrieben von Christian Erxleben

Dein Supermarkteinkauf ist innerhalb von zehn Minuten bei dir zuhause – und das zu Preisen, die du auch im Supermarkt zahlst. Das verspricht dir Gorillas. Doch mit dem Datenschutz nimmt es der Lieferdienst nicht ernst – wie Sicherheitsforscher zeigen.

200.000 Daten von Gorillas-Nutzern und Fahrern öffentlich einsehbar

Der Lieferdienst Gorillas verspricht, über 1.000 Produkte zu Supermarktpreisen innerhalb von nur zehn Minuten nach deiner Bestellung zu dir nach Hause zu liefern. Doch so beliebt das Angebot des Start-ups ist, so unsicher ist offensichtlich die technische Infrastruktur.

Mit ein paar für Experten simplen Tests und Anfragen hat das IT-Kollektiv „Zerforschung“ eine enorme Sicherheitslücke bei Gorillas aufgedeckt.

Neue Stellenangebote

Social Media Manager:in
MANDARIN MEDIEN Gesellschaft für digitale Lösungen mbH in Schwerin
Social Media Manager:in Fokus Personalmarketing
MANDARIN MEDIEN Gesellschaft für digitale Lösungen mbH in Schwerin
Werkstudent (m/w/d) Online-Kommunikation & Social Media
pluss Personalmanagement GmbH - Karriere Intern in Hamburg

Alle Stellenanzeigen

So war die Vereinigung aus Programmierer:innen und Informatiker:innen dazu in der Lage, die Daten aus über einer Million Bestellungen einzusehen. Davon sind über 200.000 Kund:innen, aber auch Fahrer:innen des Unternehmens betroffen.

Diese Daten waren bei Gorillas einsehbar

Durch die Abfrage der Zugangskennung (JSON Web Token) in Kombination mit einem GraphQL-Client hat „Zerforschung“ die folgenden Informationen erhalten:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Bestelldetails
  • Ablaufdaten von Kredikarten
  • Teilweise Fotos von Häusern und Klingelschildern
  • Name und Telefonnummer der zuständigen Fahrer:in

Da sich Kund:innen bei Gorillas nicht nur Lebensmittel bestellen können, sondern auch Gebrauchsmittel des täglichen Bedarfs, ist die Sicherheitslücke noch gravierender. Oder würdest du dir wünschen, dass im Netz einsehbar ist, ob und wann du dir einen Schwangerschaftstest bestellt hast?

Zugriff auf E-Mail-Verteiler und internen Slack-Chat

Doch damit nicht genug: Über andere (offene) Schnittstellen und aufgrund von fehlenden Sicherheitsmaßnahmen waren die Mitglieder von „Zerforschung“ in der Theorie noch zu viel tiefgreifenderen Eingriffen in der Lage.

So hätten sie beispielsweise die Möglichkeit gehabt, Nachrichten in den internen Slack-Chats von Gorillas an Mitarbeiter:innen zu verschicken.

Ebenso ungeschützt war das E-Mail-System, auf das der 10-Minuten-Lieferdienst setzt, um die eigenen E-Mails und Newsletter in die Postfächer der Kund:innen zu schicken.

Eine gefährliche Kombination

Wer nun die genannten Schwachstellen in Verbindung setzt, erkennt das große Gefahrenpotenzial. „Wir kennen die Daten aller Kund:innen samt ihrer Bestellungen und können E-Mails im Namen von Gorillas schreiben“, erklärt deshalb auch „Zerforschung“ in der Analyse.

Die Forscher:innen zeigen anhand einer Beispiel-E-Mail, wie authentisch eine Anfrage von Kriminellen an nichts ahnende Kund:innen von Gorillas aussehen könnte:

Gorillas

So täuschend echt könnte eine gefälschte Gorillas-Mail aussehen. (Foto: Screenshot / Zerforschung)

Weiter heißt es dann:

Da die Domains gorlllas.io und goriilas.io noch frei sind, würden sich hier sogar vertraut aussehende Domains für die Zahlung nutzen lassen. Allerdings sind es Menschen mittlerweile sowieso gewöhnt, auf verschiedenste Zahlungsanbieter umgeleitet zu werden.

Fest steht: Wir würden drauf reinfallen.

Diesem Fazit würden wir uns anschließen.

Gorillas schließt Sicherheitslücken, Fragen bleiben

Nachdem das IT-Kollektiv „Zerforschung“ seine Erkenntnisse mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie dem NDR und dem Rbb geteilt hatte, reagierte der 10-Minuten-Lieferdienst umgehend.

Auf Nachfrage teilte Gorillas gegenüber Medien mit, dass die entsprechenden Sicherheitslücken inzwischen geschlossen worden sind. Außerdem seien keine persönlichen Daten von Kund:innen veröffentlicht worden.

Nichtsdestotrotz stellt sich die Frage, wieso es „Zerforschung“ überhaupt möglich war, derart viele personenbezogene Daten abzugreifen und zugleich in die internen und externen Kommunikationssysteme des Unternehmens einzugreifen.

Datenschutz – das zeigt auch dieser Fall wieder einmal – ist in der freien Wirtschaft offenbar kein erstrebenswertes Ziel.

Auch interessant:

Unsere Empfehlungen für dich

Über den Autor

Christian Erxleben

Christian Erxleben ist seit Ende 2017 Chefredakteur von BASIC thinking. Zuvor war er als Ressortleiter Social Media und Head of Social Media bei BASIC thinking tätig. Durch seine Arbeit im Social-Media- und Marketing-Ressort der INTERNET WORLD Business, am Newsdesk von Focus Online und durch sein Journalismus-Studium sowie sein redaktionelles Volontariat hat er in den Bereichen der Redaktion und des Social Media Managements mehrjährige, fundierte Erfahrung gesammelt. Beruflich und privat beschäftigt er sich mit Social Media, New-Work-Konzepten und persönlicher Entwicklung.

Zu allen Artikeln

1 Kommentar

Kommentieren