Kundendaten wieder sicher: Gearbest stopft Daten-Leck externer Server

Am Freitag, dem 15. März 2019, berichtete unter anderem Golem in einem Artikel über eine fehlerhafte Serversicherung beim chinesischen Online-Händler Gearbest. Kundendaten wären deshalb öffentlich im Internet zugänglich gewesen. Der Bericht wurde unter Bezug auf den Sicherheitsforscher Noam Rotem verfasst. Am gleichen Tag sowie auch heute, dem 17. März 2019, hat Gearbest auf die Meldung und das Daten-Leck reagiert. Auf der Gearbest-Facebook-Seite wurde eine Stellungnahme und ein Update zum Fix des Problems veröffentlicht.

Ein mögliches Datenleck bei Gearbest, das zu einem Leak von Kundendaten hätte führen können - das Thema sorgte Mitte März 2019 für Schlagzeilen. Der Online-Händler aus China hat reagiert und seine Firewall-Systeme wieder hochgefahren.
Ein mögliches Datenleck bei Gearbest, das zu einem Leak von Kundendaten hätte führen können – das Thema sorgte Mitte März 2019 für Schlagzeilen. Der Online-Händler aus China hat reagiert und seine Firewall-Systeme wieder hochgefahren.

Gearbest reagiert nicht?

Kurz vor der ersten Stellungnahme seitens Gearbest auf Facebook hat Golem noch „Gearbest reagiert nicht“ getitelt. Das trifft nicht mehr zu. Auch die Fragen, seit wann das Datenleck bestand und wie es überhaupt dazu kam, sind nun geklärt. Deshalb schaut euch für die erste Einordnung und zu den Hintergründen der anfänglichen Berichterstattung mal den oben verlinkten Golem-Artikel an. Im Folgenden habe ich euch die beiden auf Englisch veröffentlichten Informationsschreiben von Gearbest auf Deutsch übersetzt. 

„Data Breach Incident“ – Dokument vom 15.03.2019

Update zu einem Datenleck-Vorkommen, das Gearbest passiert ist

Am 15. März 2019 hat unser Datensicherheitsteam entdeckt, dass ein White Hat Hacker [Wiki-Erklärung zum Begriff, Anm. d. Ü.] namens Noam Rotem einen Report auf www.vpnmentor.com veröffentlicht hat, der behauptet, dass Gearbests Datenbanken für persönliche Kundendaten und Transaktionsdaten (im Folgenden „Daten“) ungesichert und eventuell kompromittiert sind. Wir haben auch gesehen, dass diese Informationen weltweit im Internet in Umlauf geraten sind.

Sofort nachdem wir auf den Vorfall aufmerksam geworden sind, haben unsere Sicherheitsexperten eine Untersuchung eingeleitet, um die Behauptungen von Mr. Noam Rotem zu verifizieren. Während alle unsere eigenen, bestehenden Datenbanken oder Server, die für die Speicherung oder Verarbeitung von Daten mit allen notwendigen Verschlüsselungsmaßnahmen gesichert sowie absolut sicher sind, ist auf einige externe Werkzeuge, die von uns genutzt werden, um Daten temporär zu lagern, von Dritten zugegriffen worden, und daher wurde die Datensicherheit eventuell kompromittiert.

Die externen Werkzeuge, die wir nutzen, sind dazu gedacht, die Daten-Effizienz zu erhöhen und einen Datenüberlauf zu verhindern. Daten werden in diesen Werkzeugen nur unter 3 Kalendertagen verwahrt, bevor sie automatisch zerstört werden. Hinsichtlich möglichen Datensicherheitslecks haben wir diese Werkzeuge mit starken Firewalls  geschützt, um eine Daten-Kompromittierung durch ein schadhaftes Scannen Dritter zu verhindern. Jedoch haben unsere Untersuchungen aufgezeigt, dass diese Firewalls am 1. März 2019 versehentlich von einem unserer Sicherheitsteammitglieder aus Gründen, die noch untersucht werden, deaktiviert wurden. Ein solcher ungeschützter Status hat diese Werkzeuge direkt für das Scanning und den Zugriff ohne weitere Authentifizierung freigegeben.

Aktuell gehen wir davon aus, dass dies unsere Neukunden genauso betroffen hat wie unsere Bestandskunden, die Bestellungen bei Gearbest in der Zeit vom 1. März 2019 bis zum 15. März 2019 aufgegeben haben, insgesamt eine Anzahl von 280.000. Glücklicherweise wurde diese Unregelmäßigkeit von uns binnen zwei Stunden nach der Entdeckung behoben und wir werden unser internes Sicherheitsmanagement weiterhin stärken, um neuerliche Vorkommen dieser Art zu verhindern.

Wir entschuldigen uns aufrichtig für das, was passiert ist. Zu dem, was wir wie oben beschrieben unternommen haben, werden wir schnellstmöglich Maßnahmen ergreifen, um die Passwörter von neu registrierten Benutzern zu deaktivieren, um jedweden illegalen Login in deren Accounts zu verhindern, und wir werden auch eine E-Mail an alle betroffenen Kunden senden, um zur Situation zu informieren.

Wir nehmen die Sicherheit unserer Kunden sehr ernst und werden weiterhin alles in unserer Macht stehende tun, um eine sichere und vertrauensvolle Shopping-Umgebung für unsere teuren / lieben [je nach Übersetzung] Kunden zu schaffen.

Gearbest.com

Quelle: Hier Original-Text ansehen

Meine Erfahrung: Ich musste mein Passwort ändern

Als ich mich am Freitag bei Gearbest einloggen wollte, wurde mir der Hinweis aufgezeigt, dass ich einen Link zum Zurücksetzen meines Passworts anfordern sollte. Das war keine Option, sondern ein Muss – anders konnte ich mich nicht einloggen. Also habe ich den Link angefordert, binnen weniger Sekunden im Posteingang meines E-Mail-Kontos gehabt, und konnte dank ihm fortfahren. Ich habe ein neues, sich vom alten wesentlich unterscheidendes Passwort angelegt und sollte nun nicht mehr von einer womöglichen Bereicherung Dritter am oben beschriebenen Daten- und Sicherheitsleck betroffen sein. Das nur als kleiner Einwurf zwischendrin. Weiter geht’s mit dem ins Deutsche übersetzten Update, das heute auf der Facebook-Seite des chinesischen Online-Händlers veröffentlicht wurde.

„Aktuelles Update“-Dokument vom 17. März 2019

In Folge unseres letzten Updates zum Datenleck-Vorfall am 15. März 2019 wurden Fortschritte gemacht hinsichtlich der internen Untersuchung, um zu klären, was passierte, genauso wie hinsichtlich der korrektiven Maßnahmen, die wir vorbereitet haben, um die Situation unter Kontrolle zu bringen.

Wir haben herausgefunden, dass unser IT-Team ihre IT-Strategie seit Anfang Januar 2019 geändert hat, um Netzwerküberlastungen zu reduzieren wenn die Werkzeugserver von unserem Netzwerk aufgerufen werden. Ein Ergebnis davon war, dass die normale Funktionsweise des Firewall-Systems dadurch negativ beeinträchtigt wurde, sodass das System im Zeitraum vom 10. Januar 2019 bis 28. Februar 2019 („die erste Periode“) regelmäßig deaktiviert wurde und dann in der Zeitspanne vom 1. März 2019 bis 15. März 2019 („die zweite Periode“) dauerhaft ausgeschaltet war. 

Unsere Untersuchung zeigt, dass während der ersten Periode nur die Bestellinformationen von Kunden, die mit Gearbest interagiert haben – eine Gesamtzahl von 570.000 – eventuell offen zugänglich waren, wobei das Risiko, dass diese Bestellinformationen tatsächlich offen eingesehen wurden, sehr niedrig ist, nicht nur, weil das Firewall-System durchaus regelmäßig aktiviert war, sondern wesentlich wichtiger, weil wir die externen Tools so eingerichtet haben, dass die Daten für jeden Kunden nur für drei Tage gespeichert sind bevor sie zerstört werden.

Trotzdem die externen Tools wegen der oben aufgezeigten Gründe angreifbar waren und solche Schwächen zu einem möglichen Offenlegen von Daten führen kann, haben wir herausgefunden, dass aktuell keine Daten-Aufzeichnungen von Dritten heruntergeladen wurden – eingeschlossen der externen Sicherheitsforscher, die uns geholfen haben, die Schwachstelle zu identifizieren. Deshalb glauben wir, dass keine Daten-Aufzeichnungen wirklich nach außen gedrungen sind.

Wir bekräftigen, dass das Firewall-Problem behoben wurde und kein Vorfall dieser Art wieder passieren wird. Nochmals erwähnt nehmen wir diesen Vorfall extrem ernst und werden weiterhin alles in unserer Macht stehende tun, um den möglichen Verlust unserer Kunden, der sich daraus ergeben könnte, abzumildern. 

Gearbest.com

Quelle: Original-Text hier einsehen

Fazit zum Thema Datenleck bei Gearbest

Wie u. a. Golem schon richtig berichtete, so hat es die Möglichkeit für ein Datenleck bzw. für einen Kundendaten-Leak im System von Gearbest gegeben. Nachdem dieses aber öffentlich wurde, hat Gearbest schnell reagiert und das fehlerhafte Firewall-System wieder in seinen funktionierenden Zustand versetzt. Die Öffnung der Server-Zugänge wurde möglich, da der interne Zugriff für die Abwicklung von Prozessen beschleunigt werden sollte. Der Fehler war, dass nicht nur für Systeme und Mitarbeiter von Gearbest ein Zugang geschaffen wurde, sondern für die breite Öffentlichkeit (mit entsprechenden Kenntnissen). Aber das Problem scheint offiziellen Angaben nach ja nun behoben. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.