rbb|24 exklusiv | Datenschutz - Tausende Kundendaten bei Lieferservice "Flink" waren ungeschützt
Name, Adresse, Kreditkartendaten – all das ließ sich womöglich seit geraumer Zeit beim Berliner Lieferservice "Flink" für tausende Kunden abrufen. Der Fall könnte stellvertretend für Start-ups in der Bestellbranche stehen. Von Haluka Maier-Borst und Maike Gomm
Wie oft haben Sie in den vergangenen zwölf Monaten etwas bestellt und liefern lassen? Fünf, zehn oder zwanzig Mal? Oder kommen Sie schon mit dem Zählen nicht mehr hinterher? Lieferdienste boomen in der Pandemie. Amazon konnte letztes Jahr seinen Gewinn verdreifachen [tagesschau.de]. Und auch in Deutschland führte die Pandemie dazu, dass zum Beispiel das Unternehmen Delivery Hero in den Dax aufstieg [tagesschau.de].
Das Berliner Startup "Flink" will von diesem Boom profitieren und versucht als Lieferservice sich rapide zu etablieren. Was dabei aber anscheinend zu kurz kommt: die Datensicherheit.
Name, Adresse, Kreditkartendaten – alles einsehbar
Ein Team aus Sicherheitsforschern des Kollektivs "Zerforschung" [zerforschung.org] ist Hinweisen nachgegangen, dass es erhebliche Sicherheitslücken bei der "Flink"-App gibt. Die Ergebnisse teilten die Sicherheitsforscher exklusiv vorab mit rbb|24. Es zeigte sich, dass sich noch bis vor wenigen Tagen ohne Probleme Name, Adresse, Bestellung und sogar Kreditkartendaten Tausender Kunden nachverfolgen ließen.
Die Datenschnittstelle der App war so schlecht geschützt, dass ein geübter Programmierer innerhalb einer halben Stunde und gänzlich ohne Kenntnis von Passwörtern Zugriff auf die Daten bekommen konnte. Und das für mehrere Tausend Nutzerinnen und Nutzer.
Erst auf Hinweis des Teams wurde die Sicherheitslücke nun behoben. "Ein externer Datenzugriff, der im Zusammenhang mit Recherchen Ihres RBB-Netzwerkes stand sowie unsere eigenen Kontrollen haben Schwachstellen offengelegt, die auch den Schutz der Daten einiger unserer Kunden betroffen haben", erklärt das Unternehmen schriftlich. "Wir haben selbstverständlich umgehend darauf reagiert und die Sicherheitslücken abgestellt. Bereits seit Samstag, dem 6.3.2021, liefen die Systeme mit neuen Sicherheitseinstellungen und Schutzmaßnahmen wieder normal." Außerdem habe man über das Wochenende ein Komplett-Update der App gefahren und die Berliner Beauftragte für Datenschutz und Informationsfreiheit über den Vorgang informiert.
Nutzerinnen und Nutzer der App wurden ebenfalls per Mail angeschrieben und über die Schwachstelle und ihre Behebung informiert. Trotzdem ist das Team von "Zerforschung" nicht zufrieden: "In der Mail sagt Flink Kundinnen und Kunnden, dass bei den Untersuchungen sie 'keinen Missbrauch Deiner Daten' festgestellt hätten. Wie genau man das aber sicher ausschließen will, ist uns jedenfalls schleierhaft."
Daten frei zugänglich, die auch Kriminelle gerne nutzen
Flink ist kein kleiner Fisch. Zwar wurde es erst vor wenigen Monaten gemäß Handelsregister gegründet und wirbt nun seit einigen Wochen für seinen Dienst in Berlin. Laut Berichten des "Handeslblatts" und des Branchenmagazins "t3n" haben aber Flink wie auch der Konkurrent Gorillas "in kürzester Zeit zweistellige Millionenbeträge bei Risikokapitalgebern eingesammelt" [handelsblatt.de]. Inzwischen stünde man bei Flink bei 53 Millionen Euro an eingeworbenen Mitteln [t3n.de].
Die Versprechen sind groß, man will innerhalb von 10 Minuten ausgewählte Einkäufe per Fahrrad ausliefern. Neben Berlin auch in Hamburg, München, Nürnberg, Köln und Düsseldorf. Auch eine Expansion des Services nach Frankreich und in die Niederlande wird anscheinend diskutiert. Umso frappierender ist es, wie gravierend die Mängel bei der Datensicherheit wohl waren, wie die entdeckte Sicherheitslücke zeigte.
Ein Programmierer von "Zerforschung", der das Datenleck entdeckt hat, erklärt gegenüber rbb|24 seine erste Reaktion: "Ich war überrascht, dass die Daten so offen gerumlagen. Ich vermutete erst, es seien nur Testdaten. Nach einer Testbestellung wurde mir aber klar, dass es sich um echte Kundendaten handelt."
Das Problem des Datenlecks ist dabei aber deutlich größer als die Frage, ob jemand will, dass interessierte Nachbarn wissen, dass er oder sie gerade Kondome und Tampons gekauft hat. Oder dass man mithilfe dieses Wissens den Einkauf anderer Leute abfangen könnte.
Die Datensätze, die zugänglich waren, könnten auch von Kriminellen leicht genutzt werden. Von Telefon-Betrügerinnen bis hin zu Stalkern, die plötzlich den korrekten Namen und die Adresse von jemandem wissen.
"Die letzten vier Stellen der Kreditkartennummer werden häufig im Telefon-Support von Webseiten verwendet, um die Identiät festzustellen. Damit könnten dann Accounts, zum Beispiel bei Amazon übernommen werden", sagt der Programmierer. Wie lange diese Sicherheitslücke bestand, kann Flink auf rbb|24-Nachfragen nur vermuten. Man gehe momentan davon aus, dass dies nur sehr kurzfristig möglich war
Ferner teilt mit, dass man mit App-Update und anderen eingeleiteten Maßnahmen zeigen wolle "dass Flink aus Fehlern lernt und wir noch stärker in Datensicherheit investieren werden" und habe nun auch eine externe Firma für Sicherheits-Checks beauftragt.
Steht der Fall stellvertretend für die Start Up-Szene?
Eine professionell designte App mit so vielen Features, die gleichzeitig ein eklatantes Datenschutz-Problem hat – das verwundert das Kollektiv von "Zerforschung" nicht.
Dass es gleich so viele leicht zugängliche und detailierte Informationen sind, sei sicher unüblich. Datensicherheit habe aber oft nicht die höchste Priorität in Startups. Gerade dort sei es oft wichtiger, erstmal ein neues Feature einzubauen als bestehende Probleme zu beheben oder sich um IT-Sicherheit zu kümmern. Denn besserer Datenschutz bringe erstmal kein Geld ein und keine neuen Kundinnen. Diesen Doppelstandard kritisiert "Zerforschung":
"Startups können keinen Welpenschutz für sich reklamieren. Wenn das Produkt marktreif genug ist, um Kundendaten zu speichern, muss es auch reif genug sein, diese für sich zu behalten", sagen die Sicherheitsforscher. Sie sagen darum, dass mehr Pürfungen gegen Datenlecks und verbindliche Regeln, wenn diese doch auftreten, wichtig wären. Und es brauche mehr Ressourcen für staatliche Behörden, um auch zu prüfen, wie gut die Regeln eingehalten werden – zum Beispiel für die Landesdatenschutzbeauftragte des Landes Berlin.
Die Landesdatenschutzbeauftragte des Landes Berlin, der der Vorfall mitgeteilt wurde, erklärte auf rbb|24-Anfrage " dass der Verantwortliche (die Flink Lebensmittel GmbH) am 8. März 2021 um 10:30 Uhr eine Datenpanne gemeldet hat" und das innerhalb der vorgeschriebenen Fristen. Aktuell sei man noch dabei den Sachverhalt und die Angaben des Unternehmens zu prüfen. Unabhängig davon weist die Behörde darauf hin, dass die Vorgaben des Datenschutzes von allen Unternehmen zu erfüllen seien – ganz gleich welcher Größe oder Finanzstärke.
Sendung:
