Rund um Gearbest gibt es mal wieder negative Schlagzeilen wegen eines Datenlecks über welches persönliche Daten von Kunden öffentlich zur Verfügung standen. Bereits 2017 gab es einen Vorfall, bei dem Gearbest gehackt wurde und zahlreiche Zugangsdaten von Kunden des China Shops veröffentlicht wurden. Nun wiederholt sich das ganze, wobei es sich diesmal nicht um einen Hack im klassischen Sinne handelt, sondern um eine Entdeckung vom Forschungs Team des VPN Magazins "VPNMentor". Das Team konnte sich Zugriff zu unterschiedlichen Teilen von Gearbests Datenbank verschaffen. Dies beinhaltet die Bestellungen, Zahlungen und Rechnungen, sowie die Mitglieder Datenbank mitsamt Adressen, Geburtsdaten, E-Mail Adressen, Passwörtern, IP Adressen und Zahlungsinformationen. Laut VPNMentor konnte man sich im März 2019 Zugang zu den Datenbanken verschaffen und dort über 1,5 Millionen Einträge einsehen. Das Brisante an der Sache ist, dass die Datenbanken offenbar nicht nur ungesichert auf dem Gearbest Server liegen, sondern auch unverschlüsselt. Insbesondere im Fall der Passwörter ist das mehr als beunruhigend.
Gearbest verstößt gegen eigene Datenschutzerklärung
Besonders dreist ist das unverschlüsselte Speichern von Passwörtern nicht nur im Sinne der auch für Gearbest geltenden DSGVO, sondern auch unter Berücksichtigung von Gearbest's eigener Datenschutzerklärung. Dort gibt der Shop an, kritische Daten wie Passwörter verschlüsselt zu speichern. Laut den Entdeckungen von VPNMentor ist das allerdings nicht der Fall. Immerhin scheint Gearbest die Daten zumindest teilweise und zeitweise verschlüsselt zu haben. Laut VPNMentor konnte man in den Datensätzen an einigen stellen verschlüsselte E-Mail Adressen finden. Dies deutet darauf hin, dass Gearbest zwar entsprechende Maßnahmen zur Verschlüsselung der Daten implementiert hat, diese jedoch nicht korrekt funktionieren. Gearbest selbst hat den Vorfall zu Beginn leider nicht sonderlich ernst genommen. Laut VPNMentor hat man sich vor Veröffentlichung des Berichts mit Gearbest in Verbindung gesetzt, jedoch keine Antwort erhalten.
Statement lässt Fragen offen
Mittlerweile hat sich Gearbest zu dem Vorfall zu Wort gemeldet und auch Kunden angeschrieben. Im Statement gibt man an, dass die Server nun abgesichert sind und nach Prüfung festgestellt wurde, dass Kunden die sich zwischen dem 1. und 15. März registriert hatten, von dem Datenleck betroffen sind. Laut Gearbest sind 280.000 Accounts von dem Vorfall betroffen. Der Wahrheitsgehalt des Statements darf jedoch angezweifelt werden, denn die Zahlen passen nicht zu dem von VPNMentor gezeichneten Gesamtbild mit mehr als 1,5 Millionen zugänglichen Datensätzen. Laut Gearbest war eine "deaktivierte Firewall" schuld an dem Vorfall. Diese Angabe darf ebenfalls angezweifelt werden, da eine Firewall zwar grundsätzlich Schutz vor unbefugtem Zugriff bietet, jedoch nicht für die Verschlüsselung der persönlichen Kundendaten zuständig ist. Dies ist ein klares Anzeichen dafür, dass Gearbest nicht die ganze Wahrheit erzählt.
Datenleck eventuell ohne Auswirkungen
Eine positive Nachricht gibt es trotzdem: Das Gearbest Datenleck scheint zumindest nach bisherigem Stand von böswilligen Hackern nicht entdeckt worden zu sein. Zumindest gibt es bisher keine Hinweise darauf, dass sich die Daten im Umlauf befinden. In falscher Sicherheit sollte man sich dennoch nicht wiegen, denn es ist nicht auszuschließen, dass die Daten noch zu einem späteren Zeitpunkt in den Tiefen des Internets auftauchen. Gearbest Kunden sollten deshalb ihre Zugangsdaten ändern und - sollte das Passwort auch bei anderen Diensten genutzt worden sein - bei diesen Diensten ebenfalls das Passwort ändern. Grundsätzlich sollte man niemals auf zwei oder mehr Webseiten dasselbe Passwort nutzen. Vor allem wenn es um chinesische Dienstleister geht, sollten einzigartige Zugangsdaten und am besten auch separate E-Mail Adressen genutzt werden. Dabei geht es nichtmal um die Schnüffeleien der Regierung, sondern schlicht und einfach um die Naivität chinesischer Unternehmen, die sich immer und immer wieder in verschiedenster Art und Weise äußert. Man sollte grundsätzlich nie davon ausgehen, dass die persönlichen Daten bei einem chinesischen Dienstleister sicher sind.
Für Gearbest ist der Vorfall jedenfalls ein weiterer Image-Schaden. Besonders ein Shop dieser Größenordnung sollte mehr für den Datenschutz tun. Gearbest gehört zum Börsennotierten Konzern Globalegrow und befindet sich laut Alexa unter den Top 250 der meistbesuchten Webseiten. Der Händler ist also alles andere als klein und sollte allein deshalb professioneller agieren. Für Gearbest selbst kommt der Zeitpunkt des Vorfalls denkbar ungelegen. Aktuell feiert der Shop sein 5-jähriges Bestehen und hat dafür zahlreiche Aktionen gestartet. Den Erfolg des Sales dürfte der Vorfall deutlich bremsen.
Den kompletten Bericht von VPNMentor mit weiteren Details und Screenshots könnt ihr hier lesen.