Millionen Kundendaten des Lieferdiensts Gorillas waren aufrufbar

Gorillas: Einhorn mit Datenproblemen

Bisher klingt die Geschichte von Gorillas wie ein Märchen: Im März 2020 in Berlin gegründet, erhielt das Start-up in der zweiten Investorenrunde unglaubliche 244 Millionen Euro und gilt damit in Finanzierungskreisen als Einhorn. Gorillas ist ein Lebensmittel-Lieferdienst, bei dem seine Einkäufe bequem von der Couch zu Hause über eine App erledigen kann. Die Produkte verkauft der Lieferdienst zu Supermarkt-Preisen und verspricht, dass sie innerhalb von zehn Minuten nach Abschluss der Bestellung bei den Kund:innen eintreffen. Ohne zusätzliche Lieferkosten.

Leider bekam die Euphorie nun einen kleinen Dämpfer, denn wie sich herausstellte, gab es bei dem Berliner Start-up ein massives Datenproblem. Eine Gruppe technikaffiner Forscher:innen aus Ulm schaute sich nämlich die App von Gorillas etwas genauer an und stellte fest: Hier gibt es dringenden Nachholbedarf. Zerforschung nennt sich das Kollektiv, das regelmäßig nicht nur technische Geräte auf Herz und Nieren prüft, sondern eben auch IT-Programme. Bei dem Lieferdienst wurden die Forscher:innen fündig.

„Sicherheitshack“ von Zerforschung enthüllt Datenleak

Über eine Million Bestelldaten von 200.00 Kund:innen erhielt das Kollektiv von Gorillas bei einer Überprüfung der App. Besonders brisant: unter den Daten, die Zerforschung über die App erhielt, waren auch Fotos von Haustüren und Klingelschildern. Diese stammten wohl von Fahrer:innen, die offenbar vereinzelt die Auslieferung der Bestellungen dokumentieren sollten. Derart offenliegende Daten wären für echte Cyberkriminelle natürlich ein gefundenes Fressen. Denn wer an alle Informationen über die Kund:innen des Lieferdienstes herankommt, könnte diese im Namen von Gorillas anschreiben und so zum Beispiel dazu verleiten, eine Rechnung zweimal zu bezahlen.

Ihren „Sicherheitshack“ haben Zerforschung auf ihrer Webseite dokumentiert und nach eigenen Angaben an das Computer Emergency Response Team der Bundesverwaltung (CERT-Bund) weitergeleitet. Der CERT-Bund informierte dann Gorillas über den Datenleak. Das Start-up reagierte laut einem Statement auf Berlin.de umgehend und ließ verlauten, dass die Sicherheitslücke inzwischen geschlossen sei. „Nach bestem Wissen des Unternehmens wurden keine Daten entwendet oder anderweitig missbraucht“, so Gorillas weiter. Übrigens: Gorillas ist tatsächlich bereits der zweite Lieferdienst, bei dem Zerforschung ein Datensicherheitsproblem fand. Bereits im März 2021 dokumentierte das Kollektiv schon beim Konkurrenten Flink einen ähnlichen Datenleak.

Eine peinliche Panne aber kein echter Schaden

Natürlich hatten beide Unternehmen Glück im Unglück, denn es scheint, abgesehen von der peinlichen Vorführung durch Zerforschung, keinen echten Schaden zu geben. Im Falle eines tatsächlichen Hackerangriffs hätte das Ganze deutlich teurer werden können, denn: Hackerangriffe betreffen längst nicht mehr nur größere Unternehmen, sondern auch kleine Firmen und/oder Selbstständige aus dem IT-Bereich. Zu den möglichen Schäden von Cyber-Kriminalität zählen unter anderem:

• Lösegeldforderungen für gestohlene oder verschlüsselte Datensätze (Ransomware)
• Schadensersatzforderungen von Kund:innen die aufgrund des Hacks Opfer von Betrug wurden
• Kosten für die Wiederherstellung oder Reparatur der IT-Systeme
• Kosten für die Beauftragung externer Computer-Forensik-Analysten.

Besser abgesichert gegen Cyber- und Internet-Kriminalität mit exali

Sowohl die E-Commerce-Versicherung als auch die IT-Haftpflicht von exali.de enthalten den frei wählbaren Zusatzbaustein der Datenschutz- und Cyber-Eigenschaden-Deckung (DCD). Diese bietet jeweils Onlinehändler:innen und Portalbetreiber:innen, sowie selbstständigen IT-Fachkräften und –Unternehmen, einen zusätzlichen Schutz gegen Cyber-Kriminalität. Darunter auch die oben aufgezählten möglichen Schäden, die auf die beiden Lieferdienste Gorillas oder Flink, sowie eventuelle externe App-Entwickler:innen zugekommen wären.

Jetzt Beitrag für die IT-Haftpflicht berechnen und direkt online abschließen: