Beinahe aus dem Nichts hat der Gorillas-Lieferdienst einen regelrechten Glanzstart hingelegt. Das Berliner Start-up hat es sich zur Aufgabe gemacht, die Bestellungen seiner Kunden in seinen Geschäftsgebieten binnen gerade mal 10 Minuten auszuliefern. Doch zeigt sich, dass das Unternehmen offenbar einige Zeit lang Probleme mit dem Datenschutz hatte.
Der Erfolg von Gorillas
Lieferdienste wie Gorillas, Dija, Weezy und Cajoo errichten Lagerhäuser im Herzen der Städte, um ultraschnell liefern zu können. Sie sind von goPuff inspiriert, das in den Vereinigten Staaten ein schnelles Wachstum erfahren hat. Alleine Gorillas bereitet derzeit seine Markteinführung in 50 Städten vor, darunter Berlin, wo es schon jetzt mit Amazon Fresh, Bringmeister und anderen konkurriert.
Gorillas: Lieferdienst legte Bestelldaten frei
Das Kollektiv zerforschung, „eine freundliche Gruppe an Menschen, die Spaß daran haben, Technik auseinander zu nehmen um zu verstehen, wie diese funktioniert“, hat die App des Gorillas-Lieferdienstes genauer unter die Lupe genommen. Dabei haben die Sicherheitsforscher festgestellt, dass der Dienst offenbar eine Million Bestelldaten von gut 200.000 Kund:innen mehr oder minder ungeschützt herumliegen ließ.
In den entdeckten Datensätzen waren mitunter Namen, Telefonnummern, E-Mail-Adressen und physikalische Adressen der Bestellungen, die bestellten Produkte und sogar das Ablaufdatum der Kreditkarte enthalten. Mit letzteren können Gauner:innen allerdings nicht viel anstellen, sofern sie nicht auch über deine Kartennummer und die Prüfziffer verfügen. Nach eigenen Angaben habe zerforschung die entdeckte Lücke an das Computer Emergency Response Team (CERT)-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) gemeldet, das sie wiederum geprüft und an Gorillas weitergeleitet habe.
„Gorillas hat die beschriebenen Lücken, nach eigener Aussage, inzwischen geschlossen, die SendGrid-API-Keys widerrufen und auch die Kund*innen und Fahrer*innen informiert“, schreibt das Kollektiv. „Wir begrüßen sehr, dass Gorillas dort von sich aus tätig wird, obwohl nicht unbedingt eine Rechtspflicht besteht.“ Kritisiert wird jedoch, „dass Gorillas nicht genau benennt, welche Daten abrufbar waren“.
Den Datenlecks an den Kragen
Neben dem Gorillas-Lieferdienst hat zerforschung auch die Liefer-App Fink bereits genauer in Augenschein genommen und dort ebenfalls ein Leck entdeckt – aber mit geringeren Ausmaßen. Mit einer etwas anderen Sicherheitslücke haben derzeit zudem Laptops der Marke Dell zu kämpfen.