Etwas komisch ist dabei allerdings, dass GearBest behauptet erst heute davon erfahren zu haben, während VPNMentor angibt GearBest eine Schonfrist von ein paar Tagen gegeben zu haben. GearBest möchte sich nun darum kümmern, alle Passwörter der neuen User zurückzusetzen und weitere Sicherheitsmaßnahmen einzuleiten.
Da nicht nur ihr, sondern auch wir privat viel über den Online-Shop GearBest bestellen, waren wir entsprechend überrascht als uns diese News erreichten. Die Seite VPNMentor berichtet über teils massive Sicherheitslücken im GearBest Online-Shop, die Hacker offen gelegt haben.
Was ist GearBest?
Wir müssen euch wahrscheinlich nicht erzählen, dass über GearBest tägliche mehrere tausend Transaktionen über die Bühne gehen. Der Shop verkauft Smartphones, Notebooks, Lampen, E-Bikes, aber auch Klamotten und ist damit sehr erfolgreich. Als Teil des weltweit agierenden Unternehmens Globalegrow steuert der Online-Shop einen großen Anteil zu den 1,5 Milliarden Dollar Jahresumsatz aus dem Jahr 2017.
Wo liegt die Sicherheitslücke?
Vor gut anderthalb Jahren, also Ende 2017, gab es schon einmal eine Sicherheitslücke bei GearBest, durch welche GearBest-Passwörter auf einer anderen Website aufgetaucht sind. Die Hacker konnten nun aber einen größeren Angriff auf die GearBest-Datenbank vornehmen. Sie konnten sich Zugriff auf Bestellungsdatenbank, Zahlungs- und Rechnungsdatenbank und Accountdatenbank verschaffen. Sprich: Zahlungsinformationen, persönliche Daten, Rechnungen, Bestellhistorien, Ausweis-/Reisepassinformationen, IP-Adressen und E-Mail Adressen waren nicht verschlüsselt beziehungsweise nicht gut verschlüsselt!
Das ist natürlich ein enormes Problem und könnte, gerade aufgrund der Zahlungsinformationen auch potenziellen finanziellen Schaden bei Kunden verursachen. Um diesen „Hackerangriff“ in Kontext zu setzen: dabei handelt es sich um Ethical Hacking, also nicht um „böses“ Hacken, sondern um ein Einbruch in die Datenbank, um Schwächen im System ausfindig zu machen, damit, in diesem Fall GearBest, diese Sicherheitslücken schließen kann. Dieser Hackerangriff geschah also aus einer guten Absicht und bedeutet nicht, dass eure persönlichen Daten irgendwie missbraucht wurden.
Was kann ich machen?
Aber das heißt eben auch nicht, dass man das getrost ignorieren kann! Wir haben selbst schon unsere sensiblen Daten aus unserem GearBest-Account entfernt. Genau das empfehlen wir euch auch, und nicht nur für GearBest. Hier empfiehlt sich auch eine Änderung eueres PayPal-Passworts und eures E-Mail Passworts, das mit GearBest verknüpft wurde. Viel mehr können wir aktuell noch nicht empfehlen. Für die Zukunft empfiehlt sich auch eine extra Spam-Mail Adresse zu benutzen.
Wir haben GearBest natürlich schon kontaktiert und warten entsprechend auf ein Statement seitens des Online-Shops. Bisher wurden wir nur vertröstet: „Wegen des Datenleaks suchen wir eine Lösung. Etwas näheres kann ich jetzt leider nicht sagen.“ Sobald wir mehr wissen, werden wir diesen Artikel natürlich aktualisieren und euch auf dem Laufenden halten.