Millionen-Startup mit schlechter IT
Liefer-App „Flink“: Kundendaten waren quasi ungeschützt
Flink wirbt mit dem Slogan „Lebensmittel in 10min“ und hat sich mittlerweile mehr als 50 Millionen Euro an Investorengeldern gesichert. Einen Teil davon sollte das Berliner Startup dringend kompetenten Entwicklern geben. Aufgrund von Sicherheitslücken ließen sich umfangreiche Daten von Nutzern des Angebots vergleichsweise einfach auslesen.
Das Hacker-Team von Zerforschung hat die Flink-App untersucht und sich mit dem darüber abgewickelten Bestellvorgang auseinandergesetzt. Offenbar war es ohne großen Aufwand möglich, mit entsprechend modifizierten Abfragen sensible Daten wie Namen, Adressen, Telefonnummern, E-Mail-Adressen, Kartentyp und die letzten 4 Stellen der Kreditkarten aller Kunden des Unternehmens sowie den Inhalt der jeweiligen Bestellungen einzusehen.
Auf das Problem aufmerksam gemacht, hat das Team von Flink zwar erfreulich schnell reagiert und die dokumentierte Sicherheitslücke geschlossen, in der Kunden-Kommunikation allerdings die erforderliche Aufrichtigkeit vermissen lassen. So wurde zwar auf das die mittlerweile gestopfte Schwachstelle hingewiesen, jedoch nicht erwähnt, dass diese von einem externen Team entdeckt und die Kundendaten auf diese Weise auch abgerufen wurden. Das Fazit des Teams von Zerforschung:
Wer mit personenbezogenen Daten arbeitet, muss diese ausreichend sichern. Startups können dabei keinen Welpenschutz für sich reklamieren. Wenn das Produkt marktreif genug ist, um Kundendaten zu speichern, muss es auch reif genug sein, diese für sich zu behalten.
Das Problem wenn man selbst programmiert und keine Ahnung hat.
Ich bleibe bei Picnic!
ZERforschung liefert mittlerweile die Analysen fast im Wochentakt. Offensichtlich muss man manche App nur mal schief anschauen, dass sie in sich zusammenfällt.
So ein Fehler wie hier ist ein Stümperhafter Anfänger-Fehler, wenn man selbst von absoluten Basis-Konzepten der IT-security Null Ahnung hat.
Die DSGV wird total überbewertet…
Und ist ein himmelschreinendes Unfungswerk. Die Idee war mal gut, wurde aber ziemlich unfertig, undurchdacht und vorschnell umgesetzt.. wie so viele Themen, welche unsere Politiker nicht hinbekommen. Ich meine, diese Millionen Euros welche an Beratern ausgegeben werden scheinen hier nicht gut angelegt..
Die DSGVO sorgt in diesem Fall hier ganz konkret dafür, dass der App-Betreiber seine Sicherheitslücke an den zuständigen Landes-Datenschutzbeauftragten melden muss und dieser ein Bußgeld (bis zu 3% des jährlichen Umsatzes) verhängen kann.
Bedeutet also für die Unternehmen, dass man lieber keine Datenschutzverstöße begeht.
Was ist hier denn jetzt deine Kritik?