rbb|24 exklusiv | Datenschutz - Tausende Kundendaten bei Lieferservice "Flink" waren ungeschützt

Do 11.03.21 | 07:51 Uhr | Von Haluka Maier-Borst und Maike Gomm
  20
Ein Mitarbeiter eines Online-Lieferservice (Quelle: dpa/Koen van Weel)
dpa-Symbolbild/Koen van Weel
Video: rbb|24 | 11.03.2021 | Maike Gomm & Stefan Oberwalleney | Bild: dpa-Symbolbild/Koen van Weel

Name, Adresse, Kreditkartendaten – all das ließ sich womöglich seit geraumer Zeit beim Berliner Lieferservice "Flink" für tausende Kunden abrufen. Der Fall könnte stellvertretend für Start-ups in der Bestellbranche stehen. Von Haluka Maier-Borst und Maike Gomm

Wie oft haben Sie in den vergangenen zwölf Monaten etwas bestellt und liefern lassen? Fünf, zehn oder zwanzig Mal? Oder kommen Sie schon mit dem Zählen nicht mehr hinterher? Lieferdienste boomen in der Pandemie. Amazon konnte letztes Jahr seinen Gewinn verdreifachen [tagesschau.de]. Und auch in Deutschland führte die Pandemie dazu, dass zum Beispiel das Unternehmen Delivery Hero in den Dax aufstieg [tagesschau.de].

Das Berliner Startup "Flink" will von diesem Boom profitieren und versucht als Lieferservice sich rapide zu etablieren. Was dabei aber anscheinend zu kurz kommt: die Datensicherheit.

Name, Adresse, Kreditkartendaten – alles einsehbar

Ein Team aus Sicherheitsforschern des Kollektivs "Zerforschung" [zerforschung.org] ist Hinweisen nachgegangen, dass es erhebliche Sicherheitslücken bei der "Flink"-App gibt. Die Ergebnisse teilten die Sicherheitsforscher exklusiv vorab mit rbb|24. Es zeigte sich, dass sich noch bis vor wenigen Tagen ohne Probleme Name, Adresse, Bestellung und sogar Kreditkartendaten Tausender Kunden nachverfolgen ließen.

Die Datenschnittstelle der App war so schlecht geschützt, dass ein geübter Programmierer innerhalb einer halben Stunde und gänzlich ohne Kenntnis von Passwörtern Zugriff auf die Daten bekommen konnte. Und das für mehrere Tausend Nutzerinnen und Nutzer.

Erst auf Hinweis des Teams wurde die Sicherheitslücke nun behoben. "Ein externer Datenzugriff, der im Zusammenhang mit Recherchen Ihres RBB-Netzwerkes stand sowie unsere eigenen Kontrollen haben Schwachstellen offengelegt, die auch den Schutz der Daten einiger unserer Kunden betroffen haben", erklärt das Unternehmen schriftlich. "Wir haben selbstverständlich umgehend darauf reagiert und die Sicherheitslücken abgestellt. Bereits seit Samstag, dem 6.3.2021, liefen die Systeme mit neuen Sicherheitseinstellungen und Schutzmaßnahmen wieder normal." Außerdem habe man über das Wochenende ein Komplett-Update der App gefahren und die Berliner Beauftragte für Datenschutz und Informationsfreiheit über den Vorgang informiert.

Nutzerinnen und Nutzer der App wurden ebenfalls per Mail angeschrieben und über die Schwachstelle und ihre Behebung informiert. Trotzdem ist das Team von "Zerforschung" nicht zufrieden: "In der Mail sagt Flink Kundinnen und Kunnden, dass bei den Untersuchungen sie 'keinen Missbrauch Deiner Daten' festgestellt hätten. Wie genau man das aber sicher ausschließen will, ist uns jedenfalls schleierhaft."

Daten frei zugänglich, die auch Kriminelle gerne nutzen

Flink ist kein kleiner Fisch. Zwar wurde es erst vor wenigen Monaten gemäß Handelsregister gegründet und wirbt nun seit einigen Wochen für seinen Dienst in Berlin. Laut Berichten des "Handeslblatts" und des Branchenmagazins "t3n" haben aber Flink wie auch der Konkurrent Gorillas "in kürzester Zeit zweistellige Millionenbeträge bei Risikokapitalgebern eingesammelt" [handelsblatt.de]. Inzwischen stünde man bei Flink bei 53 Millionen Euro an eingeworbenen Mitteln [t3n.de].

Die Versprechen sind groß, man will innerhalb von 10 Minuten ausgewählte Einkäufe per Fahrrad ausliefern. Neben Berlin auch in Hamburg, München, Nürnberg, Köln und Düsseldorf. Auch eine Expansion des Services nach Frankreich und in die Niederlande wird anscheinend diskutiert. Umso frappierender ist es, wie gravierend die Mängel bei der Datensicherheit wohl waren, wie die entdeckte Sicherheitslücke zeigte.

Ein Programmierer von "Zerforschung", der das Datenleck entdeckt hat, erklärt gegenüber rbb|24 seine erste Reaktion: "Ich war überrascht, dass die Daten so offen gerumlagen. Ich vermutete erst, es seien nur Testdaten. Nach einer Testbestellung wurde mir aber klar, dass es sich um echte Kundendaten handelt."

Mit den Daten aus der Sicherheitslücke könnte man Accounts, zum Beispiel bei Amazon, einfach übernehmen.

Sicherheitsforscher von "Zerforschung"

Das Problem des Datenlecks ist dabei aber deutlich größer als die Frage, ob jemand will, dass interessierte Nachbarn wissen, dass er oder sie gerade Kondome und Tampons gekauft hat. Oder dass man mithilfe dieses Wissens den Einkauf anderer Leute abfangen könnte.

Die Datensätze, die zugänglich waren, könnten auch von Kriminellen leicht genutzt werden. Von Telefon-Betrügerinnen bis hin zu Stalkern, die plötzlich den korrekten Namen und die Adresse von jemandem wissen.

"Die letzten vier Stellen der Kreditkartennummer werden häufig im Telefon-Support von Webseiten verwendet, um die Identiät festzustellen. Damit könnten dann Accounts, zum Beispiel bei Amazon übernommen werden", sagt der Programmierer. Wie lange diese Sicherheitslücke bestand, kann Flink auf rbb|24-Nachfragen nur vermuten. Man gehe momentan davon aus, dass dies nur sehr kurzfristig möglich war

Ferner teilt mit, dass man mit App-Update und anderen eingeleiteten Maßnahmen zeigen wolle "dass Flink aus Fehlern lernt und wir noch stärker in Datensicherheit investieren werden" und habe nun auch eine externe Firma für Sicherheits-Checks beauftragt.

Steht der Fall stellvertretend für die Start Up-Szene?

Eine professionell designte App mit so vielen Features, die gleichzeitig ein eklatantes Datenschutz-Problem hat – das verwundert das Kollektiv von "Zerforschung" nicht.

Dass es gleich so viele leicht zugängliche und detailierte Informationen sind, sei sicher unüblich. Datensicherheit habe aber oft nicht die höchste Priorität in Startups. Gerade dort sei es oft wichtiger, erstmal ein neues Feature einzubauen als bestehende Probleme zu beheben oder sich um IT-Sicherheit zu kümmern. Denn besserer Datenschutz bringe erstmal kein Geld ein und keine neuen Kundinnen. Diesen Doppelstandard kritisiert "Zerforschung":

"Startups können keinen Welpenschutz für sich reklamieren. Wenn das Produkt marktreif genug ist, um Kundendaten zu speichern, muss es auch reif genug sein, diese für sich zu behalten", sagen die Sicherheitsforscher. Sie sagen darum, dass mehr Pürfungen gegen Datenlecks und verbindliche Regeln, wenn diese doch auftreten, wichtig wären. Und es brauche mehr Ressourcen für staatliche Behörden, um auch zu prüfen, wie gut die Regeln eingehalten werden – zum Beispiel für die Landesdatenschutzbeauftragte des Landes Berlin.

Die Landesdatenschutzbeauftragte des Landes Berlin, der der Vorfall mitgeteilt wurde, erklärte auf rbb|24-Anfrage " dass der Verantwortliche (die Flink Lebensmittel GmbH) am 8. März 2021 um 10:30 Uhr eine Datenpanne gemeldet hat" und das innerhalb der vorgeschriebenen Fristen. Aktuell sei man noch dabei den Sachverhalt und die Angaben des Unternehmens zu prüfen. Unabhängig davon weist die Behörde darauf hin, dass die Vorgaben des Datenschutzes von allen Unternehmen zu erfüllen seien – ganz gleich welcher Größe oder Finanzstärke.

Sendung:

Was Sie jetzt wissen müssen

Beitrag von Haluka Maier-Borst und Maike Gomm

20 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 20.

    Bitte verschone mich mit Alexa. Mir alles zu modern. Ich mag es noch althergebracht, so mit Kabelanschluss. Habe jetzt meine großen Klipschboxen gegen zwei kleinere von Teufel ausgetauscht. Da meine Ältere Nachbarin auch schon mal die Polizei rief, wegen Ruhestörung. Und diesmal hänge ich sie an die Wand.

  2. 19.

    @Lothar: Der war gut! Ja, bei uns haben früher noch zwei Boxen rumgestanden. Sogar mit Kabel die man zur Anlage legen musste ;-) Aber bei der jungen Frau steht nur so ein Alexa-Teil oder was das ist auf dem Sideboard. Da kommt ordentlich Wumms raus. Mein Nachbar kreischt auch immer sofort "Alexa..." sobald er die Wohnungstür aufgeschlossen hat. Wahrscheinlich geht dann das Licht an. Völlig Smart eingerichtet. Ja, wir werden halt alt mein lieber Lothar! Wobei ich aber sagen muss, dass ich auch keine Boxen mehr habe. Mir reicht die Soundbar vor dem Fernseher. Die kann ich von der Lautstärke ohnehin gar nicht ausreizen. Da verbinde ich mein Smartphone mit und dann spiele ich die Musik über das Handy ab. Eine CD habe ich seit Ewigkeiten nicht mehr über einen Player gehört. Habe auch gar keinen mehr. Nur den Plattenspieler behalte ich noch. Der war aber auch schon seit Jahren nicht mehr in Betrieb.

  3. 18.

    Vielen Dank nochmal. Wird gemacht.
    Übrigens zufiel Bässe bei der jungen Nachbarin? Eventuell stehen die Musikboxen direkt auch den Fußboden. Kleiner Tipp hierzu. Sie sollte sich Tennisbälle oder Tischtennisbälle besorgen, bei erst genannten halbieren, dann unter die Boxen legen. Tischtennisbälle eine Stelle leicht eindrücken, wegen der Standfestigkeit. Das kann schon sehr hilfreich sein.

  4. 17.

    Einfach einen dünnen Film auf die Gummiseite auftragen, die beim zumachen am Gefrierschrank anliegt. Nicht zu viel nehmen. Lieber nach zwei, drei Monaten nochmal nachschmieren. Mache ich übrigens auch an der Kühlschranktür.

  5. 16.

    @Angelika: Ja! Meine ist ja auch sehr nett. Aber halt irgendwie völlig unbedarft. Habe neulich auch mit ihr gesprochen, dass die basslastige Musik für sie sehr schön klingen mag, bei mir aber nur ein dauerndes "umpf, umpf, umpf..." ankommt. Viele leben halt in ihrer eigenen Welt und schauen nicht nach links und rechts. Völlig bräsig im Hirn. Dabei muss man bei uns im Haus als Mieter doch schnell feststellen, dass es sehr hellhörig ist. Wird aber von gewissen Leuten entweder nicht registriert oder einfach ignoriert. Aber unter dem Strich sind eigentlich alle freundlich. Idioten wohnen hier Gott sei Dank nicht. Außerdem reißt die Wohngegend hier dann doch wieder einiges raus ;-)

  6. 15.

    Liebe Angelika.
    Ich nenne es immer Fingertraining. Ok, für ältere Personen, besonders Frauen ist das nicht immer einfach. Heute mußte z.B. ein großer Pappkarton herhalten. In nicht mal 10 Minuten war er so kleingerissen, das er danach kaum Platz im Papierabfall Beutel wegnahm.
    Zum Thema Trampolinhüpfstunde durch andere Mieter, kann ich mich nicht beschweren. Wohne ganz oben. Zudem ist es bei uns in der gesamten Siedlung so was von ruhig. Es herrscht Friedhofsruhe den ganzen Tag über. Nach hinten raus ist ein Abenteuerspielplatz. Darüber freue ich mich sogar sehr. Bleiben Sie gesund.

  7. 14.

    Danke für den Hinweis mit der Vaseline. Muß ich unbedingt mal machen. Zu Privileg kann ich nur schreiben, preiswert und gut. Heute hab’s bei mir übrigens deftige Knoblauch Suppe mit Gemüse. Muß ja nirgendwohin;-)

  8. 13.

    Lieber Lothar, oh ja ich mach meinen Papiermüll auch "handlich" Bin da voll bei Ihnen. Und dann noch Lieferdienstkartons. Lecker selber kochen. Zum Einfrieren alles keine Hexerei. Gesünder, billiger und alles ohne Datenklau.

  9. 12.

    Lieber Falk, man könnte meinen wir wohnen in derselben Wohnung. Als meine jugendliche, fitte Obermieterin, die wirklich sehr lieb und nett ist ein Trampolin aufstellte habe ich dann doch etwas gesagt.

  10. 11.

    @Lothar: Linde ist spitze. Meine Eltern hatten bis vor 10 Jahren noch den Linde-Kühlschrank meiner 1979 verstorbenen Uroma in der Kleingartenlaube zu stehen. Das Teil hat also über 40 Jahre gehalten. Wahrscheinlich sogar knapp 50 Jahre, denn bei meiner Uroma stand der ja auch schon einige Jahre. Meine unten erwähnte Gefrierbox ist von Privileg. Die habe ich 1991 beim Einzug in die erste Wohnung gekauft. Hat also nun auch schon 30 Jahre auf dem Buckel. Wahnsinn! Das Ding hege und pflege ich wie sonstwas. An einer Stelle war der Türgummi mal leicht eingerissen und wurde von mir noch mit Kleber ganz vorsichtig wieder repariert. Das er kaum vereist zeigt mir, dass er noch sehr gut abdichtet. Den Gummi schmiere ich auch nach jedem abtauen und saubermachen immer mit Vaseline ein. Wie Du schon richtig geschrieben hast, frisst der natürlich mehr Strom als ein neues Gerät. Hatte daher auch überlegt mal einen Neuen zu kaufen. Aber bei den neuen Geräten ist das Kühlaggregat in der Box selbst mit eingebaut und das geht dann wieder vom Platz ab. Bei meinem hängt die ganze Technik noch an der Rückwand.

  11. 10.

    Sie schreiben mir aber auch sowas von der Seele. Danke dafür. Genauso handhabe ich es auch. Besitze immernoch von einer mir lieben verstorbenen alten Dame einen mini Linde Gefrierschrank. Der frisst zwar viel Strom, ist aber sehr praktisch für einen Single Haushalt und unverwüstlich. Gerade erst gestern wieder einen großen Gemüseeintopf( ohne Fleisch selbstredend) gekocht. Das meiste davon wird eingefroren. Auch frisches Brot läßt sich einfrieren. Ich liebe Pumpernickel;-)Und mit Süßkram bleibe ich auf Distanz. Denn der hält bei mir nicht lange durch. Mit Kuchen kann man mich kaufen;-)Ich gehe nur zwei, höchstens drei mal im Monat in den Supermarkt. Meine Hobbys halten mich schön auf Trapp. Lesen,Lesen, Malen. Dabei gute Musik hören und ja auch Spaziergänge gehören dazu. Langeweile, was ist das?

  12. 9.

    @April und Lothar: Sehe ich genauso. Die junge Mieterin über mir fährt jede kleinste Strecke mit dem Auto. Fängt dann aber zu Hause an, ihr Turnprogramm mit Stepper und Co. und lauter Musik zu Hause abzuspulen, dass die Wände wackeln. In dieser Zeit könnte die wunderbar an der frischen Luft durch den Wald joggen und dort trimm dich machen. Oder zu Fuss ihre Einkäufe erledigen. Dann bräuchte es auch keinen Lieferdienst ;-)
    Wir haben ja früher mit 18 auch hin und wieder mal beim Pizzadienst angerufen. Das kam damals so ab Mitte der 80er in Mode. Insofern kann ich das natürlich nachvollziehen. Wäre ich heute in dem Alter würde ich vielleicht auch diese ganzen Bestellapps nutzen. Gut, dass ich nicht mehr 18 bin und diese überteuerten und vielfach schlechten Gerichte nicht brauche. Da versorge ich mich lieber selbst und erfreue mich am gesparten Geld, was ich dann lieber mit Freundinnen und Freunden in einem gediegenen Restaurant ausgebe und einen schönen Abend von Angesicht zu Angesicht verbringe. Wollen wir hoffen, dass dies bald wieder möglich sein wird.

  13. 8.

    Liebe Angelika,
    wenn ich so alle vier Wochen meine große voll mit selbst zerrissener Pappe und Papier angefüllte wiederverwertbare Plastiktüte zur Papiertonne bringe, springen mir zumeist die leeren Online Pakete ins Gesicht. Einfach so reingesteckt und fertig. So läuft das, wenn schnell mal ein paar neue Schuhe oder ein Kleidchen bestellt wurde. Man könnte sich ja um Himmels Willen die schönen Fingernägel kaputtmachen, beim zerreißen eines so leichten Kartons. Ich erdreiste mich dann und lege diese Kartons beiseite.

  14. 7.

    @Kerstin Rocktäschel: Ganz einfach. Gute Lebensmittelplanung. Ich hätte zwar immer Leute, die für mich einkaufen gehen würden, aber ich könnte mich 4 Wochen selbst versorgen ohne einkaufen gehen zu müssen. Und das ist auch bei einer kleinen Wohnung möglich. Beispiel: Ich besitze noch nichtmal einen großen Gefrierschrank sondern nur eine kleine, quadratische Gefrierbox. Dort habe ich Lebensmittel für 14-16 Tage eingefroren. Alles Dinge die ich im Kreislauf immer wieder verbrauche und dann neu einfriere. Das sind Fertiggerichte wie Pizza, Kartoffelpuffer, Gefriergemüse, Wurst, Käse, Brötchen aber auch selbstgekochte Sachen wie mehrere Portionen Bolognese-Sauce, Chili Con Carne, Fleisch und Sauce für Aufläufe. Im Kühlschrank selbst (der auch klein ist) sind immer Lebensmittel wie Gemüse, Wurst, Käse, Marmelade, Milch, Eier und Butter für eine Woche. Halt alles für den wöchentlichen Verbrauch. Mit diesen ganzen Vorräten kommt man locker über die Quarantäne. Dann habe ich zusätzlich noch die haltbaren Lebensmittel. Auch die kann man daheim haben und im Kreislauf verbrauchen. Müsli, haltbare Milch, noch zusätzlich haltbare Fertigbrötchen zum aufbacken, Pumpernickel, Dauersalami, Marmelade, Margarine, Pasta, 2 Pestogläser, jeweils 2 Konservendosen (gemischtes Gemüse, grüne Bohnen, Sauerkraut, Grünkohl, Rotkohl, Kohlrouladen, Linsensuppe Pizzatomaten). Wer sich nicht soviel hinstellen möchte nimmt halt nur die Hälfte und hat damit immer noch ausreichend vorrätig. Dazu kommt noch Reis und falls man mal keine Kartoffeln da hat etwas Fertigkartoffelbrei und Fertigknödel. Zusätzlich noch etwas Süßkram oder Müsli-Riegel und Nüsse. Im Keller habe ich ausreichend Wasser und das ein oder andere Fläschchen Rotwein für den Notfall darf natürlich auch nicht fehlen ;-)

  15. 6.

    Leider hat die DSGVO m. E. bei vielen Firmen insgesamt noch für zu wenig Umdenken geführt. Viele scheinen die eigene Verantwortung beim Umgang mit sensiblen Kundendaten einfach nicht zu verstehen.
    Außerdem kann ich aus meiner Erfahrung sagen, dass Datensicherheit für viele Softwareentwickler und EDV-Berater nur eine sehr untergeordnete Rolle spielt. Vielmehr stehen Kosten, Funktionen und Komfort im Mittelpunkt. Datensicherheit bedeutet immer ein mehr an Kosten und ein weniger an Komfort.
    Solange die Kunden solch einen fahrlässigen Umgang mit ihren Daten nicht konsequent abstrafen, wird sich - so befürchte ich - leider wenig ändern.

  16. 5.

    Zu Ihren Kommentar habe ich die eindeutig klare Antwort darauf. Ich schütze mich schon seit dem ersten Lockdown, indem ich mich nicht unnötig unter die Leute begebe. Schon immer einen Mundschutz trage, auch draußen. Und sollte mich diese Krankheit trotz allem erwischen, auch dazu habe ich persönlich für mich einen Notfallplan aufgestellt. Darf ich aber hier nicht wiedergeben. Schon von Anstands wegen.

  17. 4.

    Kann mich den Kommentaren 1 und 2 nur anschließen. Diese ganze Bestellerei ist ein Riesenübel. Braucht man in der Großstadt wirklich nicht. Und wenn ich unser Müllhaus sehe, du liebe Güte. Da muss man doch mal nachdenken.

  18. 3.

    @Lothar/Charlottenburg. Und was machen Sie, wenn Sie in Quarantäne müssen und niemanden haben, der für Sie einkauft?

  19. 2.

    Speziell in der Großstadt ist das wirklich nicht nötig. Würde ich auch nicht tun. Jeder Gang macht schlank. Muss aber jeder selbst entscheiden.

  20. 1.

    Da freut sie der Dritte, so wie ich. Nie im Leben bestelle ich mir was zu essen über Lieferdienste, solange ich gut zu Fuß bin. Bequemlichkeit wird eben bestraft. Sieht man ja jetzt.

Nächster Artikel

Das könnte Sie auch interessieren