[English]Die chinesische Online-Shopping-Plattform Gearbest verzeichnete über 199 Millionen Besucher monatlich und dürfte auch so manchem deutschen Benutzer ein Begriff sein. Sicherheitsforscher haben festgestellt, dass die Datenbanken von Gearbest und einer Reihe weiterer Online-Shops des chinesischen Mutterunternehmens ungeschützt im Netz stehen. Hinweise, die Sicherheit zu verbessern, scheinen die Chinesen nicht zu interessieren. Nachtrag: Erklärung von Gearbest liegt vor – Firewalls wurden abgeschaltet und Daten werden für max. 3 Tage unverschlüsselt gespeichert. Details am Artikelende.
Anzeige
Ich bin gestern Abend von den vpnMentor-Leuten direkt über das Problem informiert worden. Deren Sicherheitsforscher sind auf die unglaubliche Schlamperei gestoßen. Mein Kontakt beschreibt es so:
I wanted to let you know about a HUGE data breach our ethical hackers found last week. It impacts millions of people every day, all around the world. You or one of your loved ones could be affected.
We just published a report which describes how we found that Gearbest (which has over 199 million monthly visitors), as well as many other famous clothing e-commerce stores, has a completely open and accessible database. People's private information, including email addresses, phone numbers, addresses, passwords, payment details, and orders are open to the public.
I believe BornCity's readers will be interested in this story if you decide to share it with them.
In Kurz: Deren White Hat Hacker haben letzte Woche einen sehr großen Datenverstoß gefunden – ich gehe mal davon aus, dass das so stimmt und keine Fake-News ist (die haben ja in der Vergangenheit einige Sicherheitslücken aufgedeckt, über die ich hier im Blog berichtet habe). Gearbest (mit über 199 Millionen monatlichen Besuchern) sowie viele andere bekannte E-Commerce-Shops für Bekleidung dieses Firmenkonglomerats betreiben eine ungeschützte, d.h. vollständig offene und per Internet zugängliche, Datenbank. Dort liegen die persönlichen Daten von Personen, einschließlich E-Mail-Adressen, Telefonnummern, Adressen, Passwörter, Zahlungsdaten und Bestellungen, und sind öffentlich zugänglich.
Der Datenverstoß betrifft täglich Millionen von Menschen auf der ganzen Welt und die vpnMentor-Leute gehen davon aus, dass meine Wenigkeit und viele meiner Kontakte betroffen sein könnten. Bei mir könnte das sogar zutreffen – ich bestelle zwar nicht bei Gearbest, aber die haben in der Pressebetreuung meine Kontaktdaten, wie ich an Hand diverser Mails weiß. Nun, wie auch immer, nach ein paar Stunden Schlaf hier die Details.
Gearbest Hack: Hunderttausende täglich betroffen
Unter der Leitung von Noam Rotem, einem bekannten White Hat Hacker und Aktivisten, entdeckte das Forschungsteam von vpnMentor einen größeren Sicherheitsverstoß beim Online-Händler Gearbest.
Anzeige
Wer ist Gearbest
Mit Hunderttausenden von Verkäufen pro Tag ist Gearbest ein sehr erfolgreiches chinesisches E-Commerce-Unternehmen. Die Plattform verkauft weltweit in mehr als 250 Länder Elektronik und Geräte, sowie Kleidung, Accessoires und Haushaltswaren. Während es einige international bekannte Marken wie OnePlus (SmartPhones) verkauft, stammen die meisten Produkte allerdings von kleineren chinesischen Marken. In gut 30 % der Zielländer rangiert GearBest unter den Top 100 der Internetseiten, u.a. auch, weil die Chinesen Subdomains für 18 Sprachen (u.a. auch Deutsch) eingerichtet haben.
Gearbest gehört dem chinesischen Mischkonzern Globalegrow. Die Muttergesellschaft betreibt mehrere international erfolgreiche Standorte, darunter Zaful, Rosegal und DressLily. Im Jahr 2015 erreichte ihr Umsatz 550 Millionen Dollar; 2017 feierte das Unternehmen einen Umsatz von 1,48 Milliarden Dollar. Also ein durchschlagende Erfolg des Unternehmens und seiner Töchter. Ich bekomme hier regelmäßig Mails, ich möge doch dieses oder jenes Produkt in meinem Blog vorstellen, habe bisher aber davon abgesehen, weil mir das Thema aus diversen Gründen zu wackelig war.
Der GearBest-Daten-GAU
In diesem vpnMentor-Report legen die Sicherheitsforscher nun ihre Erkenntnisse offen. Noam Rotem hat herausgefunden, dass durch eine offene Datenbank die persönlichen Daten von Personen, einschließlich E-Mail-Adressen, Telefonnummern, Adressen, Passwörter, Zahlungsdaten und Bestellungen öffentlich zugänglich sind. Hacker könnten auf verschiedene Teile der Gearbest Datenbank zugreifen, einschließlich:
-
- Bestelldatenbank: Zu den Daten gehören gekaufte Produkte, Lieferadresse und Postleitzahl, Kundenname, E-Mail-Adresse, Telefonnummer.
- Datenbank für Zahlungen und Rechnungen: Zu den Daten gehören Bestellnummer, Zahlungsart, Zahlungsinformationen, E-Mail-Adresse, Name, IP-Adresse.
- Mitgliederdatenbank: Zu den Daten gehören Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, IP-Adresse, nationale ID- und Passdaten, Konto-Passwörter.
Die Sicherheitsforscher haben im März 2019 auf diese Datenbanken zugegriffen und über 1,5 Millionen Datensätze gefunden. Die Datenbank von Gearbest ist nicht nur unsicher, sie ermöglicht darüber hinaus potenziellen Angreifern eine ständig aktualisierte Quelle für neue Benutzerdaten.
Gearbest und die Datenschutzbekundungen
Der Fall wirft einige grundlegende Fragen auf, ob und wie Datenschutz in chinesischen Unternehmen überhaupt eine Rolle spielt. Man muss schlicht deren Kontext sehen, in denen die Verantwortlichen operieren. Deren Datenschutzerklärungen teilt zwar mit, dass sie Benutzerinformationen zum Zweck der Kommunikation und Bestellabwicklung mit den Kunden erfassen und speichern.
Die Datenschutzerklärung teilt aber auch mit, dass Benutzer zwar für ihre eigenen Passwörter verantwortlich sind. Aber Gearbest gibt an, sensible Informationen per SSL zu übertragen und verschlüsselt im Zahlungsanbieter-Gateway abzulegen. Zahlungsinformationen (Kreditkarten, etc.) sollen nicht auf deren Gearbest-Servern gespeichert werden. Zugriff auf die Daten erhielten nur Berechtigte und zum Schutz der Kunden setzt man externe AV-Software von McAfee ein. Hier die betreffende Erklärung
Das klingt alles erst einmal sehr gut. Die Daten, die den Whithe Hat Hackern von vpnMentor vorliegen, zeigen, dass die obigen Erklärungen Schall und Rauch sind. Den Hacker sind viele sensible Informationen – einschließlich E-Mail-Adressen und Passwörter – die völlig unverschlüsselt waren, in die Hände gefallen. Von wegen, der Zugriff ist nur für berechtigte Personen möglich und alles ist verschlüsselt.
Darüber hinaus enthält die Gearbest-Datenbank große Mengen an personenbezogenen Daten, die nicht erforderlich sind, um die Aufgaben eines E-Commerce-Shops zu erfüllen. Beispielsweise ist eine Lieferadresse entscheidend für die Erfüllung von Bestellungen. Eine IP-Adresse ist es nicht.
Dies ist angesichts des derzeitigen Trends zu einem offeneren und transparenten Internet besonders beunruhigend. Branchenübergreifende Dienstleister, von CyberGhost VPN bis Walmart (beide haben kürzlich Transparenzberichte veröffentlicht), streben nach mehr Transparenz für ihre Kunden. Die zwielichtigen Praktiken von Gearbest tun das Gegenteil. Gearbest scheint offensichtlich gegen seine eigene Datenschutzerklärung zu verstoßen. Dies ist jedoch nicht das größte Risiko für die Privatsphäre der Nutzer.
Details zur Sicherheit der Benutzerdaten
Eine offene Datenbank mit personenbezogenen Daten kann die Sicherheit der Benutzer im Internet beeinträchtigen. Die Daten, die die White Hat-Hacker gesehen haben, zeigen vollständige Datensätze von unverschlüsselten Daten, einschließlich E-Mail-Adressen und Passwörtern. Die Sicherheitsforscher schreiben, dass einige E-Mail-Adressen gehashte Werte enthielten. Es ist aber unklar, ob dies geplant und absichtlich war und die Daten durchgängig hätten verschlüsselt werden sollen. Die Sicherheitsforscher nehmen derzeit an, dass es sich um eine teilweise implementierte Sicherheitsmaßnahme handelte, die einfach nicht funktionierte und somit nicht ihren Zweck erfüllt. Der folgende Screenshot zeigt zwei Datensätze aus der Datenbank – die sensitiven Daten wurden geschwärzt.
Die Sicherheitsforscher konnten sich mittels dieser Daten bei diesen beiden Gearbest-Accounts anmelden. Danach standen ihnen alle Funktionen zur Verfügung, als wären sie die Benutzer. Die Forscher konnten aktuelle und vergangene Bestellungen einsehen, Gearbest Punkte sammeln und das Passwort und die Details des Kontos ändern.
Hacker könnten diese Informationen nutzen, um Schaden anzurichten: Durch den Zugriff auf Benutzerkonten mit E-Mail und Passwort können sie Benutzerbestellungen ändern, Kontodaten manipulieren und Gelder aus gespeicherten Zahlungsmethoden für eigene Zwecke ausgeben.
Diese Informationen könnten aber auch auf eine viel unheilvollere Weise genutzt werden. Durch die Querverweise auf verschiedene Datenbanken könnten Hacker leicht die Identitäten der Kunden von Gearbest stehlen. Wie nachfolgend gezeigt wird, enthält die Mitgliederdatenbank die IP-Adresse, die vollständige Postanschrift, die E-Mail-Adresse, das Geburtsdatum und, was sehr beunruhigend ist, die nationale Identifikationsnummer dieses Benutzers.
Je nach Land und Anforderungen können dies genügend Informationen sein, um Hackern Zugang zu Online-Regierungsportalen, Bankanwendungen, Krankenversicherungsunterlagen und mehr zu geben.
Zahlungsinformationen
Bei der Untersuchung der Datenbank für Zahlungen und Rechnungen ist den Sicherheitsforschern aufgefallen, dass der Begriff "Boleto" mehrfach vorkam. Der bezog sich ausschließlich auf brasilianische Bestellungen (Brasilien macht 9,2% des weltweiten Verkehrs von Gearbest aus).
Es bezieht sich auf Boleto Bancario (wörtlich "Bankticket"), eine Zahlungsmethode, die vom brasilianischen Bankenverband reguliert wird. Es ist vergleichbar mit dem in Mexiko verwendeten Zahlungssystem Oxxo. Mit Oxxo können Benutzer einen Gutschein erstellen, der wie eine Debitkarte funktioniert: Benutzer laden den Betrag ihrer Wahl auf und können ausgeben, was verfügbar ist. Jeder Gutschein ist mit einem einzigartigen Barcode versehen, der den Benutzern den Zugang zu ihrem Geld ermöglicht.
In der Datenbank, auf die die Forscher zugegriffen haben, beinhalten Zahlungen, die mit einer dieser beiden Methoden erfolgen, eine URL für "ebanx". Diese Links zeigen die eingelösten aktiven Belege mit ihren Geldbeträgen. Zu den Daten gehören auch die einzigartigen Barcodes der Oxxo und Boleto Belege, die es Hackern ermöglichen, als Benutzer zu fungieren. Hacker könnten auch auf die Quittungen der Kunden mit ihren Bankdaten zugreifen.
Das ist schon brisant bis zum Abwinken. Brisant wird es aber, wenn der Benutzer und seine Bestellungen offen wie ein Buch vorliegen.
Bestelldetails: der Sex Toy-Skandal
Über die Auftragsdatenbank ist der genaue Inhalt der Bestellungen von Personen ersichtlich. Die genaue Marke, Farbe, Größe und Kosten jedes Artikels können zusammen mit dem Benutzernamen und der Lieferadresse angezeigt werden. Klingt, im Vergleich zu den anderen ungeschützten Informationen in den Datenbanken, harmlos. Der Inhalt der Bestellungen einiger Personen hat sich jedoch als sehr aufschlussreich – und in einigen Fällen sogar als lebensbedrohlich – erwiesen.
Versteckt in der Gearbest Kategorie "Bekleidung" finden die Nutzer eine große Auswahl an Sexspielzeug, die dann auch in der Kategorie Bestellung in der Datenbank auftauchen. Die offenen Datenbank ermöglicht Dritten daher, solche Details von teils sehr privaten (weil pikanten) Einkäufe zu recherchieren und ggf. öffentlich zu machen oder für Erpressungen zu verwenden.
Für viele Erwachsene auf der ganzen Welt ist der Kauf von Sexspielzeug kein Problem. Aber das ist nicht in allen Ländern der Fall. So gehören beispielsweise die im folgenden Bild gezeigten Aufträge zu Personen in Brasilien und Griechenland.
Diese Länder haben sehr liberale Gesetze in Bezug auf Sexualität und Homosexualität. In Brasilien findet die weltweit größte Pride Parade statt. Und gleichgeschlechtliche Beziehungen sind auch in Griechenland seit 1951 legal. Der Inhalt der Bestellungen könnte bei Bekanntgabe zwar für den Käufer peinlich sein, zieht aber keine Rechtsfolgen nach sich. Dies ist jedoch nicht überall der Fall.
Bei der Durchsicht der Datenbank stießen die Forscher auf Bestellinformationen für einen männlichen pakistanischen Benutzer. Dieser Kunde kaufte einen Silikon-Dildo; und eine weitere Überprüfung der Datenbank zeigte, dass er tatsächlich drei gekauft hat. Jeder Kauf beinhaltet leicht unterschiedliche Informationen. Pakistan genießt nicht die liberale Einstellung zur Sexualität, die viele westliche Länder für selbstverständlich halten.
Die strengen pakistanischen Gesetze sehen vor, dass Ehebruch und vorehelicher Sex Straftaten sind, die durch Freiheitsstrafe und Geldstrafen geahndet werden können. Die religiösen Gesetze des Landes erlauben auch den Tod durch Steinigung oder körperliche Bestrafung. Die Rechte von LGBT sind begrenzt, und es gelten die gleichen Strafen. Die LGBT-Gemeinschaft leidet auch unter sozialer Stigmatisierung, mangelndem Rechtsschutz und einer islamisierten Gesellschaft, die die Akzeptanz von LGBT-Leuten verhindert.
Diese Bestellung und die pakistanischen Gesetze machen deutlich, warum die offene Datenbank von Gearbest so gefährlich ist. Eine einfache Suche ergab den vollständigen Namen, seine E-Mail-Adresse, seine Straßenadresse und seine IP-Adresse des Käufers. Eine detailliertere Suche könnte wahrscheinlich sein Geburtsdatum und sein Konto-Passwort anzeigen, so dass wir seine früheren Bestellinformationen offen legen.
Die vpnMentor-Hacker sind nicht bösartig und haben diese Informationen zensiert veröffentlicht, um die Gefahren dieser offenen Datenbank hervorzuheben. Andere Akteure könnten sehr unterschiedliche Absichten haben. In den Händen der pakistanischen Regierung könnte diese Information ein wörtliches Todesurteil für diesen Benutzer bedeuten.
Finger weg von Gearbest
Ich hatte in diversen Blog-Beiträgen schon mal thematisiert, dass ich es als äußerst schwierig ansehe, wirksamen Datenschutz in chinesischen Produkten zu implementieren. Wie will ein Entwickler das in Produkten verwirklichen, wenn in China der Staat Zugriff auf alle Daten hat und Datenschutz in der Lebenswelt des Entwicklers nicht vorkommt? Wenn ich in der Vergangenheit schon mal in Blog-Beiträgen durchklingen ließ, dass mir bei bestimmten Sachverhalten im Kontext von Hacks oder Angeboten aus China aus diesem Grund unwohl war, kamen häufig Nutzerkommentare 'ist eine Unterstellung der Amerikaner und ist unbewiesen'.
Bezüglich Gearbest bin ich als Blogger in den vergangenen Jahren häufiger per Mail kontaktiert worden. Ich möge doch dieses und jenes Produkt vorstellen und könne Testangebote oder Produkte für Gewinnspiele erhalten. Angesichts vieler offener Fragen (Zoll, Gewährleistung, Produktsicherheit) und der doch 'arg hakelnden bis nicht stattfindenden' Kommunikation mit den Chinesen – ich habe da konkret wegen dieser Punkte nachgehakt, aber da kam nichts – habe ich als Blogger davon abgesehen, deren Produkte hier vorzustellen, zu bewerben oder in Gewinnspielen auszuloben. Da hatte ich wieder den richtigen Riecher.
Die Sicherheitsforscher haben aber noch etwas anderes aufgedeckt. Gearbest speichert nicht nur Millionen von Benutzerdaten offen in einer Datenbank. Die Hacker erhielten auch den Zugriff auf die URL des Kafka-Systems von Gearbest und Globalegrow. Kafka ist ein Datenverwaltungsprogramm, das großen Unternehmen hilft, die Menge der Standortdaten zu kontrollieren, die über jeden ihrer Server gesendet werden. Dies dient zwei Zwecken: Es verhindert eine Serverüberlastung (ermöglicht ein Load-Balancing) und ermöglicht es Unternehmen, große Datenmengen zu sammeln.
Diese Art von Zugriff ermöglicht es böswilligen Hackern, Informationen zu manipulieren, Datenbankeigenschaften neu zuzuweisen und sogar ganze Bereiche des Servers des Unternehmens zu deaktivieren. Abhängig von der Funktion der einzelnen Server kann dies die Datenerfassung, die Auftragserteilung sowie die Bestands- und Lagerverwaltung stören.
Die vpnMentor-Leute haben diesen Datenschutzverstoß im Rahmen eines ethischen Hacking-Projekts entdeckt. Noam Rotem, ein bekannter White Hat-Aktivist und Hacker, betreibt zusammen mit Ran L. und seinem Team ein Web-Scan-Projekt, das IP-Blöcke und Systemlöcher auf Datenlecks untersucht.
Die Sicherheitsforscher entdeckten, dass die gesamte Datenbank von Globalegrow ungeschützt und meist unverschlüsselt ist. Das Unternehmen verwendet eine Elasticsearch-Datenbank, die in der Regel nicht für die URL-Nutzung konzipiert ist. Die Hacker konnten jedoch per Browser darauf zugreifen und die URL-Suchkriterien so manipulieren, dass sie jederzeit bis zu 10.000 Schemata aus einem einzigen Index anzeigen können.
Die Sicherheitsforscher haben wiederholt sowohl Gearbest als auch Globalegrow kontaktiert, um sie über diesen Datenschutzverstoß zu informieren. Es wurde auch mitgeteilt, das vpnMentor einen Artikel veröffentlichen würde. Trotz gesetzter Frist und wiederholter Versuche, diese Unternehmen aufzufordern, die Sicherheit zu verbessern, blieben alle Ansätze erfolglos. Zum Zeitpunkt der Veröffentlichung lagen uns noch keine Antworten vor.
Als ethische Hacker fühlten sich die Sicherheitsforscher nicht nur verpflichtet, auf die Websites mit entdeckten Sicherheitsmängel zuzugreifen. Wenn der Datenschutzverstoß eines Unternehmens so viele Menschen betrifft – und im Falle von Gearbest betrifft dieses Problem täglich Hunderttausende von Menschen, ist handeln angesagt. Die Forscher sehen sich auch in der Verantwortung gegenüber der Öffentlichkeit. Gearbest Käufer sollten sich der Risiken bewusst sein, die sie eingehen, wenn sie eine Website nutzen, die keine Anstrengungen unternimmt, um ihre Benutzer zu schützen.
Oder mit anderen Worten: Finger weg von Gearbest – dort gilt hinsichtlich Datenschutz leider avanti dilletanti – Augen zu und durch. Alternativ kann man es halten, wie ein Benutzer in einem Forum schrieb: Mir kann nichts passieren. Wegwerfmail, Einmalpasswort und eine falsche Adresse angegeben… habe allerdings auch nie Pakete erhalten… verstehe ich auch nicht.
Ergänzung: Die Stellungnahme von Gearbest
Inzwischen hat Gearbest – zumindest gegenüber AndroidPolice – eine Stellungnahme abgegeben. Wer es lieber auf Deutsch möchte, die Kollegen von deskmodder.de habe hier den übersetzten Text. Die Kurzfassung:
Unmittelbar nach Bekanntwerden dieses Vorfalls haben unsere Sicherheitsexperten eine Untersuchung eingeleitet, um die Vorwürfe von Herrn Noam Rotem zu überprüfen. Obwohl wir festgestellt haben, dass alle unsere eigenen etablierten Datenbanken oder Server, die zur Speicherung oder Verarbeitung von Daten verwendet werden, mit allen notwendigen Verschlüsselungsmaßnahmen geschützt und absolut sicher sind, können einige der externen Tools, die wir zur temporären Speicherung von Daten verwenden, von anderen Personen genutzt worden sein, so dass die Datensicherheit möglicherweise beeinträchtigt wurde.
Laut Gearbest speichern diese externen Tools die Daten weniger als 3 Kalendertage und sind durch 'leistungsfähige' Firewalls geschützt. Laut Gearbest ergab eine interne Untersuchung, dass solche Firewalls am 1. März 2019 fälschlicherweise von einem Mitglied des Sicherheitsteams aus bisher unbekannten Gründen, entfernt wurden. Dadurch konnte plötzlich auf die Werkzeuge zum Scannen und Zugreifen ohne weitere Authentifizierung direkt zugegriffen werden. Gearbest schreibt:
Derzeit gehen wir davon aus, dass dies sowohl unsere neu registrierten Kunden als auch unsere Altkunden, die in der Zeit vom 1. März 2019 bis 15. März 2019 bei Gearbest bestellt haben, in einer Gesamtzahl von rund 280.000 betroffen sein könnten. Glücklicherweise wurde die Unregelmäßigkeit von uns innerhalb von zwei Stunden unmittelbar nach ihrer Entdeckung behoben, und wir werden unser internes Sicherheitsmanagement weiter verstärken, um zu verhindern, dass sich ein solcher Vorfall wiederholt.
Die Botschaft hinter den Zeilen ist aber eine andere. Offenbar ist nicht sichergestellt, dass bestimmte Sicherheitsmaßnahmen unautorisiert und undokumentiert vorgenommen werden können. Zudem steht diese Aussage im Widerspruch zu den Aussagen von vpnMentor, die angeben, die offene Datenbank im März 2019 gefunden und Gearbest kontaktiert zu haben. Eine Reaktion blieb aus. Erst die Berichte zum 14./15. März 2019 haben das Unternehmen zur Reaktion veranlasst.
Weiterhin man sich schon die Frage stellen: Was soll das? Im ersten Schritt erklärt das Unternehmen in seinen Datenschutzhinweisen, dass man alles verschlüssele und vor Unbefugten schütze. Und dann werden die Daten mit Tools (wenn auch nur für 3 Tage) unverschlüsselt temporär gespeichert. Sprich: Hinz und Kunz können intern auf diese Daten zugreifen und diese ggf. auch weitergeben oder 'verlieren'. Da scheint mir einiges im Argen zu liegen – aber möglicherweise ist meine Einschätzung falsch.
Anzeige
Danke für den Bericht!
"zum Schutz der Kunden setzt man externe AV-Software von McAfee ein".
McAfee Secure ist aber nicht von Symantec wie im Text von Gearbest steht, oder ?
Zu "McAfee Secure ist aber nicht von Symantec wie im Text von Gearbest steht, oder ?"
Hm, in meinem Text ist Symantec nicht erwähnt – zu Drittquellen kann ich nichts sagen – m.W. ist McAfee ein Wettbewerber von Symantec.
Hallo Günter,
Michel bezieht sich auf die verlinkte Erklärung von Gearbest: "fully verified externally by McAfee Secure from Symantec" ;)
Erinnert mich an einen schönen Schreibfehler von früher: "An das Knappschaftskrankenhaus Bochum in Essen"
Laut Wikipedia hat McAfee wohl mal eine Zeit lang Intel gehört. Du hast aber Recht damit, dass kein McAfee Produkt von Symantec erstellt oder vertrieben wird. Beide Unternehmen sind im Bereich AV Mitbewerber zueinander.
Hoffentlich lesen das die Jungs von https://windowsunited.de/ auch mal!
Denn die machen schon seit Monaten heftig Werbung für diese ach so tolle China-Plattform und lassen diese hochleben.
Da kann und mag ich nichts zu schreiben. Jeder Blogger und jede Plattform muss da selbst entscheiden. Mein Bauchgefühl hat mich hier (glücklicherweise) nicht im Stich gelassen – auch wenn die Konditionen von Gearbest für Blogger möglicherweise ganz verlockend sind.
Was ich natürlich nicht steuern kann: Wenn Gearbest Werbeanzeigen über Google hier automatisiert ausgespielt werden.
Ein Werber kann ausschliessen wo seine Werbung angezeigt wird, kann eine Platform für Werbung ausschliessen welche Werber angezeigt werden?
Teils, teils. Auf einigen Plattformen kann ich direkte Filter setzen, bei anderen muss ich Dienstleistern mitteilen, was raus soll. Dazu muss ich aber wissen, wie die Werbung ausgespielt wird – und manche Werber sind da kreativ, so dass ich das Katz-und-Mausspiel nur auf wirklich kritische Geschichten begrenzt habe – und auch dort gibt es Anzeigenschalter, die sehr kreativ sind und Anzeigenplätze kapern. Führt aber deutlich über die Intention dieses Blogs hinaus.
Wenn Nutzern das Wichtigste ist, ein paar Euros zu sparen, ohne Rücksicht auf Verluste, dann können sie mir nicht Leid tun.
Es sollte allgemein bekannt sein, dass im Internet und besonders bei chinesischen Firmen stets Vorsicht angebracht ist. Die halten sich an keine Regeln und Vorschriften, die Waren haben oft gar keine Zulassung hier und dürften eigentlich nicht eingeführt werden. Weil manche Waren regelrecht gefährlich sind.
Da passt die Missachtung von Sicherheit und Datenschutz gut ins Bild.
Amazon hat mit solchen Firmen oft reichlich Ärger.
Wem das keine Warnung ist, hat es schlicht nicht besser verdient.
Dieses Bashing von China-Shops halte ich für vollkommen unangebracht. Man muss sich nur mal die Datenlecks der letzten Jahren ansehen. DuMont, LinkedIn, Marriott, Uber, NetEase, MySpace, ShareThis, Abandonia, Adobe, Avast Forum, Bell usw… Diese Liste lässt sich fast ewig fortsetzten. Ganz zu schweigen vom Fall Equifax, die größte Wirtschaftsauskunft der Vereinigten Staaten.
Ich sehe jedenfalls keine Häufung bei den chinesischen Seiten, eher umgekehrt. Und was den Zugriff des Staates auf die Daten angeht, die USA scheren sich auch einen feuchten Kehricht um dem Datenschutz sofern es nicht die Daten von amerikanischen Staatsbürgern betrifft.
Man muss bei jeder Seite damit rechnen Opfer eines Datenleck zu werden, egal ob es sich um einen deutschen, einen amerikanischen oder einen chinesischen Anbieter handelt. Gearbest reiht sich nun in eine Liste ein die bisher klar von nicht chinesischen Anbietern dominiert wird.
Hat sich dort jemand auf die Füße getreten gefühlt? China-Shops zeichnen sich, im Gegensatz zu LinkedIn & Co. zusätzlich dadurch aus, dass i.d.R. Zoll- und Einfuhrumsatzsteuer vom Besteller nachzuentrichten sind, die EU-Bestimmungen nicht eingehalten werden und auch keine Umsatzsteuer entrichtet wird. Von Gewährleistungs- und anderen Ansprüchen ganz zu schweigen. Heise hat in der c't gerade das Thema behandelt (leider hinter einer Bezahlschranke). Und die Datenlecks der anderen können kein Kriterium sein, bei China-Shops das Thema nicht anzusprechen.
Geht es hier jetzt primär um das Datenleck oder um Steuern und Gewährleistungsansprüche? Natürlich sollten Datenlecks angesprochen werden, der Artikel erweckt aber den Anschein als wären vor allem chinesische Shops Opfer solcher Datenlecks und würden den Datenschutz ignorieren. So interpretiere ich jedenfalls Ihre Aussage: "Der Fall wirft einige grundlegende Fragen auf, ob und wie Datenschutz in chinesischen Unternehmen überhaupt eine Rolle spielt."
Diese Frage stelle ich mir bei allen Unternehmen welche in den letzten Jahren ihre Nutzerdaten verloren haben. Trotz gesetzlicher Regelungen und vollmundigen Bekundungen halten es viele europäische und amerikanische Unternehmen es nicht für notwendig ihre Daten zu schützen bzw. Passwörter zu verschlüsseln. Dass chinesische Unternehmen es ähnlich machen wundert mich da nicht, ohne sie in Schutz nehmen zu wollen.
Insofern ist das Datenleck bei Gearbest ärgerlich und sollte angesprochen werden, aber es ist sicher kein reines Problem chinesischer Anbieter. BTW: Ich habe mit Gearbest kein Problem, aber offensichtlich fühlen Sie sich durch diesen Anbieter außerordentlich getriggert.
Gearbest wurde auf ein MONSTERLECK aufmerksam gemacht und unternimmt genau … GARNICHTS!
Da fühle ich mich auch getriggert.
Was ich sonst mit sogenannten Rechnungen aus China erlebe, da fühle ich mich erst recht getriggert.
Chinesen schreiben anscheinend alles auf Rechnungen, was die Kunden wünschen. Denen sind unsere Gesetze einfach schei… egal.