{"id":215667,"date":"2019-03-15T06:21:20","date_gmt":"2019-03-15T05:21:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=215667"},"modified":"2019-03-16T07:53:39","modified_gmt":"2019-03-16T06:53:39","slug":"millionen-gearbest-nutzerdaten-ungeschtzt-online","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/03\/15\/millionen-gearbest-nutzerdaten-ungeschtzt-online\/","title":{"rendered":"Millionen Gearbest-Nutzerdaten ungesch&uuml;tzt online"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/03\/15\/millions-of-gearbests-user-data-are-online-unprotected\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Die chinesische Online-Shopping-Plattform Gearbest verzeichnete \u00fcber 199 Millionen Besucher monatlich und d\u00fcrfte auch so manchem deutschen Benutzer ein Begriff sein. Sicherheitsforscher haben festgestellt, dass die Datenbanken von Gearbest und einer Reihe weiterer Online-Shops des chinesischen Mutterunternehmens ungesch\u00fctzt im Netz stehen. Hinweise, die Sicherheit zu verbessern, scheinen die Chinesen nicht zu interessieren. <strong>Nachtrag:<\/strong> Erkl\u00e4rung von Gearbest liegt vor &#8211; Firewalls wurden abgeschaltet und Daten werden f\u00fcr max. 3 Tage unverschl\u00fcsselt gespeichert. Details am Artikelende.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/1e158d8c4a904701aa768c8d8ba60af5\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin gestern Abend von den vpnMentor-Leuten direkt \u00fcber das Problem informiert worden. Deren Sicherheitsforscher sind auf die unglaubliche Schlamperei gesto\u00dfen. Mein Kontakt beschreibt es so:<\/p>\n<blockquote><p>I wanted to let you know about a HUGE data breach our ethical hackers found last week. It impacts millions of people every day, all around the world. You or one of your loved ones could be affected.<\/p>\n<p>We just published a report which describes how we found that Gearbest (which has over 199 million monthly visitors), as well as many other famous clothing e-commerce stores, has a completely open and accessible database. People's private information, including email addresses, phone numbers, addresses, passwords, payment details, and orders are open to the public.<\/p>\n<p>I believe BornCity's readers will be interested in this story if you decide to share it with them.<\/p><\/blockquote>\n<p>In Kurz: Deren White Hat Hacker haben letzte Woche einen sehr gro\u00dfen Datenversto\u00df gefunden &#8211; ich gehe mal davon aus, dass das so stimmt und keine Fake-News ist (die haben ja in der Vergangenheit einige Sicherheitsl\u00fccken aufgedeckt, \u00fcber die ich hier im Blog berichtet habe). Gearbest (mit \u00fcber 199 Millionen monatlichen Besuchern) sowie viele andere bekannte E-Commerce-Shops f\u00fcr Bekleidung dieses Firmenkonglomerats betreiben eine ungesch\u00fctzte, d.h. vollst\u00e4ndig offene und per Internet zug\u00e4ngliche, Datenbank. Dort liegen die pers\u00f6nlichen Daten von Personen, einschlie\u00dflich E-Mail-Adressen, Telefonnummern, Adressen, Passw\u00f6rter, Zahlungsdaten und Bestellungen, und sind \u00f6ffentlich zug\u00e4nglich.<\/p>\n<p>Der Datenversto\u00df betrifft t\u00e4glich Millionen von Menschen auf der ganzen Welt und die vpnMentor-Leute gehen davon aus, dass meine Wenigkeit und viele meiner Kontakte betroffen sein k\u00f6nnten. Bei mir k\u00f6nnte das sogar zutreffen \u2013 ich bestelle zwar nicht bei Gearbest, aber die haben in der Pressebetreuung meine Kontaktdaten, wie ich an Hand diverser Mails wei\u00df. Nun, wie auch immer, nach ein paar Stunden Schlaf hier die Details.<\/p>\n<h2>Gearbest Hack: Hunderttausende t\u00e4glich betroffen<\/h2>\n<p>Unter der Leitung von Noam Rotem, einem bekannten White Hat Hacker und Aktivisten, entdeckte das Forschungsteam von vpnMentor einen gr\u00f6\u00dferen Sicherheitsversto\u00df beim Online-H\u00e4ndler Gearbest.<\/p>\n<h3>Wer ist Gearbest<\/h3>\n<p>Mit Hunderttausenden von Verk\u00e4ufen pro Tag ist Gearbest ein sehr erfolgreiches chinesisches E-Commerce-Unternehmen. Die Plattform verkauft weltweit in mehr als 250 L\u00e4nder Elektronik und Ger\u00e4te, sowie Kleidung, Accessoires und Haushaltswaren. W\u00e4hrend es einige international bekannte Marken wie OnePlus (SmartPhones) verkauft, stammen die meisten Produkte allerdings von kleineren chinesischen Marken. In gut 30 % der Ziell\u00e4nder rangiert GearBest unter den Top 100 der Internetseiten, u.a. auch, weil die Chinesen Subdomains f\u00fcr 18 Sprachen (u.a. auch Deutsch) eingerichtet haben.<\/p>\n<p>Gearbest geh\u00f6rt dem chinesischen Mischkonzern Globalegrow. Die Muttergesellschaft betreibt mehrere international erfolgreiche Standorte, darunter Zaful, Rosegal und DressLily. Im Jahr 2015 erreichte ihr Umsatz 550 Millionen Dollar; 2017 feierte das Unternehmen einen Umsatz von 1,48 Milliarden Dollar. Also ein durchschlagende Erfolg des Unternehmens und seiner T\u00f6chter. Ich bekomme hier regelm\u00e4\u00dfig Mails, ich m\u00f6ge doch dieses oder jenes Produkt in meinem Blog vorstellen, habe bisher aber davon abgesehen, weil mir das Thema aus diversen Gr\u00fcnden zu wackelig war.<\/p>\n<h3>Der GearBest-Daten-GAU<\/h3>\n<p>In <a href=\"https:\/\/www.vpnmentor.com\/blog\/gearbest-hack\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem vpnMentor-Report<\/a> legen die Sicherheitsforscher nun ihre Erkenntnisse offen. Noam Rotem hat herausgefunden, dass durch eine offene Datenbank die pers\u00f6nlichen Daten von Personen, einschlie\u00dflich E-Mail-Adressen, Telefonnummern, Adressen, Passw\u00f6rter, Zahlungsdaten und Bestellungen \u00f6ffentlich zug\u00e4nglich sind. Hacker k\u00f6nnten auf verschiedene Teile der Gearbest Datenbank zugreifen, einschlie\u00dflich:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li><strong>Bestelldatenbank: <\/strong>Zu den Daten geh\u00f6ren gekaufte Produkte, Lieferadresse und Postleitzahl, Kundenname, E-Mail-Adresse, Telefonnummer.<\/li>\n<li><strong>Datenbank f\u00fcr Zahlungen und Rechnungen: <\/strong>Zu den Daten geh\u00f6ren Bestellnummer, Zahlungsart, Zahlungsinformationen, E-Mail-Adresse, Name, IP-Adresse.<\/li>\n<li><strong>Mitgliederdatenbank: <\/strong>Zu den Daten geh\u00f6ren Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, IP-Adresse, nationale ID- und Passdaten, Konto-Passw\u00f6rter.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Die Sicherheitsforscher haben im M\u00e4rz 2019 auf diese Datenbanken zugegriffen und \u00fcber 1,5 Millionen Datens\u00e4tze gefunden. Die Datenbank von Gearbest ist nicht nur unsicher, sie erm\u00f6glicht dar\u00fcber hinaus potenziellen Angreifern eine st\u00e4ndig aktualisierte Quelle f\u00fcr neue Benutzerdaten.<\/p>\n<h3>Gearbest und die Datenschutzbekundungen<\/h3>\n<p>Der Fall wirft einige grundlegende Fragen auf, ob und wie Datenschutz in chinesischen Unternehmen \u00fcberhaupt eine Rolle spielt. Man muss schlicht deren Kontext sehen, in denen die Verantwortlichen operieren. Deren Datenschutzerkl\u00e4rungen teilt zwar mit, dass sie Benutzerinformationen zum Zweck der Kommunikation und Bestellabwicklung mit den Kunden erfassen und speichern.<\/p>\n<p><a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/screen.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/screen.jpg\" width=\"641\" height=\"166\" \/><\/a><br \/>\n(<a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/screen.jpg\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Die Datenschutzerkl\u00e4rung teilt aber auch mit, dass Benutzer zwar f\u00fcr ihre eigenen Passw\u00f6rter verantwortlich sind. Aber Gearbest gibt an, sensible Informationen per SSL zu \u00fcbertragen und verschl\u00fcsselt im Zahlungsanbieter-Gateway abzulegen. Zahlungsinformationen (Kreditkarten, etc.) sollen nicht auf deren Gearbest-Servern gespeichert werden. Zugriff auf die Daten erhielten nur Berechtigte und zum Schutz der Kunden setzt man externe AV-Software von McAfee ein.\u00a0 Hier die betreffende Erkl\u00e4rung<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/what.jpg\" width=\"620\" height=\"195\" \/><br \/>\n(<a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/what.jpg\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Das klingt alles erst einmal sehr gut. Die Daten, die den Whithe Hat Hackern von vpnMentor vorliegen, zeigen, dass die obigen Erkl\u00e4rungen Schall und Rauch sind. Den Hacker sind viele sensible Informationen &#8211; einschlie\u00dflich E-Mail-Adressen und Passw\u00f6rter &#8211; die v\u00f6llig unverschl\u00fcsselt waren, in die H\u00e4nde gefallen. Von wegen, der Zugriff ist nur f\u00fcr berechtigte Personen m\u00f6glich und alles ist verschl\u00fcsselt.<\/p>\n<p>Dar\u00fcber hinaus enth\u00e4lt die Gearbest-Datenbank gro\u00dfe Mengen an personenbezogenen Daten, die nicht erforderlich sind, um die Aufgaben eines E-Commerce-Shops zu erf\u00fcllen. Beispielsweise ist eine Lieferadresse entscheidend f\u00fcr die Erf\u00fcllung von Bestellungen. Eine IP-Adresse ist es nicht.<\/p>\n<p>Dies ist angesichts des derzeitigen Trends zu einem offeneren und transparenten Internet besonders beunruhigend. Branchen\u00fcbergreifende Dienstleister, von CyberGhost VPN bis Walmart (beide haben k\u00fcrzlich Transparenzberichte ver\u00f6ffentlicht), streben nach mehr Transparenz f\u00fcr ihre Kunden. Die zwielichtigen Praktiken von Gearbest tun das Gegenteil. Gearbest scheint offensichtlich gegen seine eigene Datenschutzerkl\u00e4rung zu versto\u00dfen. Dies ist jedoch nicht das gr\u00f6\u00dfte Risiko f\u00fcr die Privatsph\u00e4re der Nutzer.<\/p>\n<h2>Details zur Sicherheit der Benutzerdaten<\/h2>\n<p>Eine offene Datenbank mit personenbezogenen Daten kann die Sicherheit der Benutzer im Internet beeintr\u00e4chtigen. Die Daten, die die White Hat-Hacker gesehen haben, zeigen vollst\u00e4ndige Datens\u00e4tze von unverschl\u00fcsselten Daten, einschlie\u00dflich E-Mail-Adressen und Passw\u00f6rtern. Die Sicherheitsforscher schreiben, dass einige E-Mail-Adressen gehashte Werte enthielten. Es ist aber unklar, ob dies geplant und absichtlich war und die Daten durchg\u00e4ngig h\u00e4tten verschl\u00fcsselt werden sollen. Die Sicherheitsforscher nehmen derzeit an, dass es sich um eine teilweise implementierte Sicherheitsma\u00dfnahme handelte, die einfach nicht funktionierte und somit nicht ihren Zweck erf\u00fcllt. Der folgende Screenshot zeigt zwei Datens\u00e4tze aus der Datenbank \u2013 die sensitiven Daten wurden geschw\u00e4rzt.<\/p>\n<p><a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/passwords-1024x108.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/passwords-1024x108.jpg\" alt=\"\" width=\"606\" height=\"64\" \/><\/a><br \/>\n(<a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/passwords-1024x108.jpg\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Die Sicherheitsforscher konnten sich mittels dieser Daten bei diesen beiden Gearbest-Accounts anmelden. Danach standen ihnen alle Funktionen zur Verf\u00fcgung, als w\u00e4ren sie die Benutzer. Die Forscher konnten aktuelle und vergangene Bestellungen einsehen, Gearbest Punkte sammeln und das Passwort und die Details des Kontos \u00e4ndern.<\/p>\n<p>Hacker k\u00f6nnten diese Informationen nutzen, um Schaden anzurichten: Durch den Zugriff auf Benutzerkonten mit E-Mail und Passwort k\u00f6nnen sie Benutzerbestellungen \u00e4ndern, Kontodaten manipulieren und Gelder aus gespeicherten Zahlungsmethoden f\u00fcr eigene Zwecke ausgeben.<\/p>\n<p>Diese Informationen k\u00f6nnten aber auch auf eine viel unheilvollere Weise genutzt werden. Durch die Querverweise auf verschiedene Datenbanken k\u00f6nnten Hacker leicht die Identit\u00e4ten der Kunden von Gearbest stehlen. Wie nachfolgend gezeigt wird, enth\u00e4lt die Mitgliederdatenbank die IP-Adresse, die vollst\u00e4ndige Postanschrift, die E-Mail-Adresse, das Geburtsdatum und, was sehr beunruhigend ist, die nationale Identifikationsnummer dieses Benutzers.<\/p>\n<p><a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/log_user_data-1024x60.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/log_user_data-1024x60.jpg\" alt=\"\" width=\"614\" height=\"36\" \/><\/a><br \/>\n(<a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/log_user_data-1024x60.jpg\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Je nach Land und Anforderungen k\u00f6nnen dies gen\u00fcgend Informationen sein, um Hackern Zugang zu Online-Regierungsportalen, Bankanwendungen, Krankenversicherungsunterlagen und mehr zu geben.<\/p>\n<h3>Zahlungsinformationen<\/h3>\n<p>Bei der Untersuchung der Datenbank f\u00fcr Zahlungen und Rechnungen ist den Sicherheitsforschern aufgefallen, dass der Begriff \"Boleto\" mehrfach vorkam. Der bezog sich ausschlie\u00dflich auf brasilianische Bestellungen (Brasilien macht 9,2% des weltweiten Verkehrs von Gearbest aus).<\/p>\n<p>Es bezieht sich auf Boleto Bancario (w\u00f6rtlich \"Bankticket\"), eine Zahlungsmethode, die vom brasilianischen Bankenverband reguliert wird. Es ist vergleichbar mit dem in Mexiko verwendeten Zahlungssystem Oxxo. Mit Oxxo k\u00f6nnen Benutzer einen Gutschein erstellen, der wie eine Debitkarte funktioniert: Benutzer laden den Betrag ihrer Wahl auf und k\u00f6nnen ausgeben, was verf\u00fcgbar ist. Jeder Gutschein ist mit einem einzigartigen Barcode versehen, der den Benutzern den Zugang zu ihrem Geld erm\u00f6glicht.<\/p>\n<p><a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/boleta.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/boleta.jpg\" alt=\"\" width=\"599\" height=\"637\" \/><\/a><br \/>\n(<a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/boleta.jpg\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>In der Datenbank, auf die die Forscher zugegriffen haben, beinhalten Zahlungen, die mit einer dieser beiden Methoden erfolgen, eine URL f\u00fcr \"ebanx\". Diese Links zeigen die eingel\u00f6sten aktiven Belege mit ihren Geldbetr\u00e4gen. Zu den Daten geh\u00f6ren auch die einzigartigen Barcodes der Oxxo und Boleto Belege, die es Hackern erm\u00f6glichen, als Benutzer zu fungieren. Hacker k\u00f6nnten auch auf die Quittungen der Kunden mit ihren Bankdaten zugreifen.<\/p>\n<p><a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/payment-details.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/payment-details.jpg\" alt=\"\" width=\"618\" height=\"684\" \/><\/a><br \/>\n(<a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/payment-details.jpg\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Das ist schon brisant bis zum Abwinken. Brisant wird es aber, wenn der Benutzer und seine Bestellungen offen wie ein Buch vorliegen.<\/p>\n<h3>Bestelldetails: der Sex Toy-Skandal<\/h3>\n<p>\u00dcber die Auftragsdatenbank ist der genaue Inhalt der Bestellungen von Personen ersichtlich. Die genaue Marke, Farbe, Gr\u00f6\u00dfe und Kosten jedes Artikels k\u00f6nnen zusammen mit dem Benutzernamen und der Lieferadresse angezeigt werden. Klingt, im Vergleich zu den anderen ungesch\u00fctzten Informationen in den Datenbanken, harmlos. Der Inhalt der Bestellungen einiger Personen hat sich jedoch als sehr aufschlussreich &#8211; und in einigen F\u00e4llen sogar als lebensbedrohlich &#8211; erwiesen.<\/p>\n<p>Versteckt in der Gearbest Kategorie \"Bekleidung\" finden die Nutzer eine gro\u00dfe Auswahl an Sexspielzeug, die dann auch in der Kategorie Bestellung in der Datenbank auftauchen. Die offenen Datenbank erm\u00f6glicht Dritten daher, solche Details von teils sehr privaten (weil pikanten) Eink\u00e4ufe zu recherchieren und ggf. \u00f6ffentlich zu machen oder f\u00fcr Erpressungen zu verwenden.<\/p>\n<p>F\u00fcr viele Erwachsene auf der ganzen Welt ist der Kauf von Sexspielzeug kein Problem. Aber das ist nicht in allen L\u00e4ndern der Fall. So geh\u00f6ren beispielsweise die im folgenden Bild gezeigten Auftr\u00e4ge zu Personen in Brasilien und Griechenland.<\/p>\n<p><a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/sex_toy_order-1024x272.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/sex_toy_order-1024x272.jpg\" alt=\"\" width=\"612\" height=\"163\" \/><\/a><br \/>\n(<a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/sex_toy_order-1024x272.jpg\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Diese L\u00e4nder haben sehr liberale Gesetze in Bezug auf Sexualit\u00e4t und Homosexualit\u00e4t. In Brasilien findet die weltweit gr\u00f6\u00dfte Pride Parade statt. Und gleichgeschlechtliche Beziehungen sind auch in Griechenland seit 1951 legal. Der Inhalt der Bestellungen k\u00f6nnte bei Bekanntgabe zwar f\u00fcr den K\u00e4ufer peinlich sein, zieht aber keine Rechtsfolgen nach sich. Dies ist jedoch nicht \u00fcberall der Fall.<\/p>\n<p>Bei der Durchsicht der Datenbank stie\u00dfen die Forscher auf Bestellinformationen f\u00fcr einen m\u00e4nnlichen pakistanischen Benutzer. Dieser Kunde kaufte einen Silikon-Dildo; und eine weitere \u00dcberpr\u00fcfung der Datenbank zeigte, dass er tats\u00e4chlich drei gekauft hat. Jeder Kauf beinhaltet leicht unterschiedliche Informationen. Pakistan genie\u00dft nicht die liberale Einstellung zur Sexualit\u00e4t, die viele westliche L\u00e4nder f\u00fcr selbstverst\u00e4ndlich halten.<\/p>\n<p>Die strengen pakistanischen Gesetze sehen vor, dass Ehebruch und vorehelicher Sex Straftaten sind, die durch Freiheitsstrafe und Geldstrafen geahndet werden k\u00f6nnen. Die religi\u00f6sen Gesetze des Landes erlauben auch den Tod durch Steinigung oder k\u00f6rperliche Bestrafung. Die Rechte von LGBT sind begrenzt, und es gelten die gleichen Strafen. Die LGBT-Gemeinschaft leidet auch unter sozialer Stigmatisierung, mangelndem Rechtsschutz und einer islamisierten Gesellschaft, die die Akzeptanz von LGBT-Leuten verhindert.<\/p>\n<p>Diese Bestellung und die pakistanischen Gesetze machen deutlich, warum die offene Datenbank von Gearbest so gef\u00e4hrlich ist. Eine einfache Suche ergab den vollst\u00e4ndigen Namen, seine E-Mail-Adresse, seine Stra\u00dfenadresse und seine IP-Adresse des K\u00e4ufers. Eine detailliertere Suche k\u00f6nnte wahrscheinlich sein Geburtsdatum und sein Konto-Passwort anzeigen, so dass wir seine fr\u00fcheren Bestellinformationen offen legen.<\/p>\n<p>Die vpnMentor-Hacker sind nicht b\u00f6sartig und haben diese Informationen zensiert ver\u00f6ffentlicht, um die Gefahren dieser offenen Datenbank hervorzuheben. Andere Akteure k\u00f6nnten sehr unterschiedliche Absichten haben. In den H\u00e4nden der pakistanischen Regierung k\u00f6nnte diese Information ein w\u00f6rtliches Todesurteil f\u00fcr diesen Benutzer bedeuten.<\/p>\n<h2>Finger weg von Gearbest<\/h2>\n<p>Ich hatte in diversen Blog-Beitr\u00e4gen schon mal thematisiert, dass ich es als \u00e4u\u00dferst schwierig ansehe, wirksamen Datenschutz in chinesischen Produkten zu implementieren. Wie will ein Entwickler das in Produkten verwirklichen, wenn in China der Staat Zugriff auf alle Daten hat und Datenschutz in der Lebenswelt des Entwicklers nicht vorkommt? Wenn ich in der Vergangenheit schon mal in Blog-Beitr\u00e4gen durchklingen lie\u00df, dass mir bei bestimmten Sachverhalten im Kontext von Hacks oder Angeboten aus China aus diesem Grund unwohl war, kamen h\u00e4ufig Nutzerkommentare 'ist eine Unterstellung der Amerikaner und ist unbewiesen'.<\/p>\n<p>Bez\u00fcglich Gearbest bin ich als Blogger in den vergangenen Jahren h\u00e4ufiger per Mail kontaktiert worden. Ich m\u00f6ge doch dieses und jenes Produkt vorstellen und k\u00f6nne Testangebote oder Produkte f\u00fcr Gewinnspiele erhalten. Angesichts vieler offener Fragen (Zoll, Gew\u00e4hrleistung, Produktsicherheit) und der doch 'arg hakelnden bis nicht stattfindenden' Kommunikation mit den Chinesen \u2013 ich habe da konkret wegen dieser Punkte nachgehakt, aber da kam nichts &#8211; habe ich als Blogger davon abgesehen, deren Produkte hier vorzustellen, zu bewerben oder in Gewinnspielen auszuloben. Da hatte ich wieder den richtigen Riecher.<\/p>\n<p>Die Sicherheitsforscher haben aber noch etwas anderes aufgedeckt. Gearbest speichert nicht nur Millionen von Benutzerdaten offen in einer Datenbank. Die Hacker erhielten auch den Zugriff auf die URL des Kafka-Systems von Gearbest und Globalegrow. Kafka ist ein Datenverwaltungsprogramm, das gro\u00dfen Unternehmen hilft, die Menge der Standortdaten zu kontrollieren, die \u00fcber jeden ihrer Server gesendet werden. Dies dient zwei Zwecken: Es verhindert eine Server\u00fcberlastung (erm\u00f6glicht ein Load-Balancing) und erm\u00f6glicht es Unternehmen, gro\u00dfe Datenmengen zu sammeln.<\/p>\n<p>Diese Art von Zugriff erm\u00f6glicht es b\u00f6swilligen Hackern, Informationen zu manipulieren, Datenbankeigenschaften neu zuzuweisen und sogar ganze Bereiche des Servers des Unternehmens zu deaktivieren. Abh\u00e4ngig von der Funktion der einzelnen Server kann dies die Datenerfassung, die Auftragserteilung sowie die Bestands- und Lagerverwaltung st\u00f6ren.<\/p>\n<p><a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/kafka-disable.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/kafka-disable.jpg\" alt=\"\" width=\"633\" height=\"281\" \/><\/a><br \/>\n(<a href=\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/kafka-disable.jpg\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Die vpnMentor-Leute haben diesen Datenschutzversto\u00df im Rahmen eines ethischen Hacking-Projekts entdeckt. Noam Rotem, ein bekannter White Hat-Aktivist und Hacker, betreibt zusammen mit Ran L. und seinem Team ein Web-Scan-Projekt, das IP-Bl\u00f6cke und Systeml\u00f6cher auf Datenlecks untersucht.<\/p>\n<p>Die Sicherheitsforscher entdeckten, dass die gesamte Datenbank von Globalegrow ungesch\u00fctzt und meist unverschl\u00fcsselt ist. Das Unternehmen verwendet eine Elasticsearch-Datenbank, die in der Regel nicht f\u00fcr die URL-Nutzung konzipiert ist. Die Hacker konnten jedoch per Browser darauf zugreifen und die URL-Suchkriterien so manipulieren, dass sie jederzeit bis zu 10.000 Schemata aus einem einzigen Index anzeigen k\u00f6nnen.<\/p>\n<p>Die Sicherheitsforscher haben wiederholt sowohl Gearbest als auch Globalegrow kontaktiert, um sie \u00fcber diesen Datenschutzversto\u00df zu informieren. Es wurde auch mitgeteilt, das vpnMentor einen Artikel ver\u00f6ffentlichen w\u00fcrde. Trotz gesetzter Frist und wiederholter Versuche, diese Unternehmen aufzufordern, die Sicherheit zu verbessern, blieben alle Ans\u00e4tze erfolglos. Zum Zeitpunkt der Ver\u00f6ffentlichung lagen uns noch keine Antworten vor.<\/p>\n<p>Als ethische Hacker f\u00fchlten sich die Sicherheitsforscher nicht nur verpflichtet, auf die Websites mit entdeckten Sicherheitsm\u00e4ngel zuzugreifen. Wenn der Datenschutzversto\u00df eines Unternehmens so viele Menschen betrifft &#8211; und im Falle von Gearbest betrifft dieses Problem t\u00e4glich Hunderttausende von Menschen, ist handeln angesagt. Die Forscher sehen sich auch in der Verantwortung gegen\u00fcber der \u00d6ffentlichkeit. Gearbest K\u00e4ufer sollten sich der Risiken bewusst sein, die sie eingehen, wenn sie eine Website nutzen, die keine Anstrengungen unternimmt, um ihre Benutzer zu sch\u00fctzen.<\/p>\n<p>Oder mit anderen Worten: Finger weg von Gearbest \u2013 dort gilt hinsichtlich Datenschutz leider avanti dilletanti \u2013 Augen zu und durch. Alternativ kann man es halten, wie ein Benutzer in einem Forum schrieb: <em>Mir kann nichts passieren. Wegwerfmail, Einmalpasswort und eine falsche Adresse angegeben&#8230;\u00a0 habe allerdings auch nie Pakete erhalten&#8230; verstehe ich auch nicht.<\/em><\/p>\n<h2>Erg\u00e4nzung: Die Stellungnahme von Gearbest<\/h2>\n<p>Inzwischen hat Gearbest &#8211; zumindest gegen\u00fcber AndroidPolice &#8211; eine <a href=\"https:\/\/www.androidpolice.com\/2019\/03\/15\/gearbest-reportedly-left-its-main-database-unsecured-payment-information-and-other-customer-data-easily-accessible\/#1\" target=\"_blank\" rel=\"noopener noreferrer\">Stellungnahme<\/a> abgegeben. Wer es lieber auf Deutsch m\u00f6chte, die Kollegen von deskmodder.de habe <a href=\"https:\/\/www.deskmodder.de\/blog\/2019\/03\/15\/gearbest-mit-offenen-datenbanken-bisher-ohne-darauf-zu-reagieren\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> den \u00fcbersetzten Text. Die Kurzfassung:<\/p>\n<blockquote><p>Unmittelbar nach Bekanntwerden dieses Vorfalls haben unsere Sicherheitsexperten eine Untersuchung eingeleitet, um die Vorw\u00fcrfe von Herrn Noam Rotem zu \u00fcberpr\u00fcfen. Obwohl wir festgestellt haben, dass alle unsere eigenen etablierten Datenbanken oder Server, die zur Speicherung oder Verarbeitung von Daten verwendet werden, mit allen notwendigen Verschl\u00fcsselungsma\u00dfnahmen gesch\u00fctzt und absolut sicher sind, k\u00f6nnen einige der externen Tools, die wir zur tempor\u00e4ren Speicherung von Daten verwenden, von anderen Personen genutzt worden sein, so dass die Datensicherheit m\u00f6glicherweise beeintr\u00e4chtigt wurde.<\/p><\/blockquote>\n<p>Laut Gearbest speichern diese externen Tools die Daten weniger als 3 Kalendertage und sind durch 'leistungsf\u00e4hige' Firewalls gesch\u00fctzt. Laut Gearbest ergab eine interne Untersuchung, dass solche Firewalls am 1. M\u00e4rz 2019 f\u00e4lschlicherweise von einem Mitglied des Sicherheitsteams aus bisher unbekannten Gr\u00fcnden, entfernt wurden. Dadurch konnte pl\u00f6tzlich auf die Werkzeuge zum Scannen und Zugreifen ohne weitere Authentifizierung direkt zugegriffen werden. Gearbest schreibt:<\/p>\n<blockquote><p>Derzeit gehen wir davon aus, dass dies sowohl unsere neu registrierten Kunden als auch unsere Altkunden, die in der Zeit vom 1. M\u00e4rz 2019 bis 15. M\u00e4rz 2019 bei Gearbest bestellt haben, in einer Gesamtzahl von rund 280.000 betroffen sein k\u00f6nnten. Gl\u00fccklicherweise wurde die Unregelm\u00e4\u00dfigkeit von uns innerhalb von zwei Stunden unmittelbar nach ihrer Entdeckung behoben, und wir werden unser internes Sicherheitsmanagement weiter verst\u00e4rken, um zu verhindern, dass sich ein solcher Vorfall wiederholt.<\/p><\/blockquote>\n<p>Die Botschaft hinter den Zeilen ist aber eine andere. Offenbar ist nicht sichergestellt, dass bestimmte Sicherheitsma\u00dfnahmen unautorisiert und undokumentiert vorgenommen werden k\u00f6nnen. Zudem steht diese Aussage im Widerspruch zu den Aussagen von vpnMentor, die angeben, die offene Datenbank im M\u00e4rz 2019 gefunden und Gearbest kontaktiert zu haben. Eine Reaktion blieb aus. Erst die Berichte zum 14.\/15. M\u00e4rz 2019 haben das Unternehmen zur Reaktion veranlasst.<\/p>\n<p>Weiterhin\u00a0man sich schon die Frage stellen: Was soll das? Im ersten Schritt erkl\u00e4rt das Unternehmen in seinen Datenschutzhinweisen, dass man alles verschl\u00fcssele und vor Unbefugten sch\u00fctze. Und dann werden die Daten mit Tools (wenn auch nur f\u00fcr 3 Tage) unverschl\u00fcsselt tempor\u00e4r gespeichert. Sprich: Hinz und Kunz k\u00f6nnen intern auf diese Daten zugreifen und diese ggf. auch weitergeben oder 'verlieren'. Da scheint mir einiges im Argen zu liegen &#8211; aber m\u00f6glicherweise ist meine Einsch\u00e4tzung falsch.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die chinesische Online-Shopping-Plattform Gearbest verzeichnete \u00fcber 199 Millionen Besucher monatlich und d\u00fcrfte auch so manchem deutschen Benutzer ein Begriff sein. Sicherheitsforscher haben festgestellt, dass die Datenbanken von Gearbest und einer Reihe weiterer Online-Shops des chinesischen Mutterunternehmens ungesch\u00fctzt im Netz stehen. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2019\/03\/15\/millionen-gearbest-nutzerdaten-ungeschtzt-online\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-215667","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215667","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=215667"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215667\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=215667"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=215667"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=215667"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}