iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Millionen-Startup mit schlechter IT

Liefer-App „Flink“: Kundendaten waren quasi ungeschützt

Artikel auf Mastodon teilen.
6 Kommentare 6

Flink wirbt mit dem Slogan „Lebensmittel in 10mi‪n“ und hat sich mittlerweile mehr als 50 Millionen Euro an Investorengeldern gesichert. Einen Teil davon sollte das Berliner Startup dringend kompetenten Entwicklern geben. Aufgrund von Sicherheitslücken ließen sich umfangreiche Daten von Nutzern des Angebots vergleichsweise einfach auslesen.

Das Hacker-Team von Zerforschung hat die Flink-App untersucht und sich mit dem darüber abgewickelten Bestellvorgang auseinandergesetzt. Offenbar war es ohne großen Aufwand möglich, mit entsprechend modifizierten Abfragen sensible Daten wie Namen, Adressen, Telefonnummern, E-Mail-Adressen, Kartentyp und die letzten 4 Stellen der Kreditkarten aller Kunden des Unternehmens sowie den Inhalt der jeweiligen Bestellungen einzusehen.

Flink Hack

Auf das Problem aufmerksam gemacht, hat das Team von Flink zwar erfreulich schnell reagiert und die dokumentierte Sicherheitslücke geschlossen, in der Kunden-Kommunikation allerdings die erforderliche Aufrichtigkeit vermissen lassen. So wurde zwar auf das die mittlerweile gestopfte Schwachstelle hingewiesen, jedoch nicht erwähnt, dass diese von einem externen Team entdeckt und die Kundendaten auf diese Weise auch abgerufen wurden. Das Fazit des Teams von Zerforschung:

Wer mit personenbezogenen Daten arbeitet, muss diese ausreichend sichern. Startups können dabei keinen Welpenschutz für sich reklamieren. Wenn das Produkt marktreif genug ist, um Kundendaten zu speichern, muss es auch reif genug sein, diese für sich zu behalten.

11. Mrz 2021 um 16:10 Uhr von chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    6 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Das Problem wenn man selbst programmiert und keine Ahnung hat.

  • ZERforschung liefert mittlerweile die Analysen fast im Wochentakt. Offensichtlich muss man manche App nur mal schief anschauen, dass sie in sich zusammenfällt.

    So ein Fehler wie hier ist ein Stümperhafter Anfänger-Fehler, wenn man selbst von absoluten Basis-Konzepten der IT-security Null Ahnung hat.

  • Conchita Tufuwurst
    • Und ist ein himmelschreinendes Unfungswerk. Die Idee war mal gut, wurde aber ziemlich unfertig, undurchdacht und vorschnell umgesetzt.. wie so viele Themen, welche unsere Politiker nicht hinbekommen. Ich meine, diese Millionen Euros welche an Beratern ausgegeben werden scheinen hier nicht gut angelegt..

      • Die DSGVO sorgt in diesem Fall hier ganz konkret dafür, dass der App-Betreiber seine Sicherheitslücke an den zuständigen Landes-Datenschutzbeauftragten melden muss und dieser ein Bußgeld (bis zu 3% des jährlichen Umsatzes) verhängen kann.

        Bedeutet also für die Unternehmen, dass man lieber keine Datenschutzverstöße begeht.

        Was ist hier denn jetzt deine Kritik?

    Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6321 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven