News GearBest Hack: Sicherheitslücken im Online-Shop entdeckt – Statement von GearBest veröffentlicht

GearBest hat zu dem Hackerangriff auf die eigene Website nun ein Statement auf Facebook veröffentlicht. Während man sich natürlich für diese Lücken entschuldigt, relativiert man die Vorwürfe des Hackers Noam Rotem ein wenig. Demnach betreffen die Lücken nur externe Tools, die GearBest benutzt. Auf diesen werden Daten aber nicht länger als 3 Tage gespeichert. Das Problem entstand allerdings dadurch, dass die dafür genutzte Firewall seit dem 1. März nicht mehr aktiv war.

GearBest Statement

Etwas komisch ist dabei allerdings, dass GearBest behauptet erst heute davon erfahren zu haben, während VPNMentor angibt GearBest eine Schonfrist von ein paar Tagen gegeben zu haben. GearBest möchte sich nun darum kümmern, alle Passwörter der neuen User zurückzusetzen und weitere Sicherheitsmaßnahmen einzuleiten.

Da nicht nur ihr, sondern auch wir privat viel über den Online-Shop GearBest bestellen, waren wir entsprechend überrascht als uns diese News erreichten. Die Seite VPNMentor berichtet über teils massive Sicherheitslücken im GearBest Online-Shop, die Hacker offen gelegt haben.

GearBest Hack VPNMentor
Bei VPN Mentor handelt es sich um eine Online-Security Firma. Bildquelle: VPNMentor

Was ist GearBest?

Wir müssen euch wahrscheinlich nicht erzählen, dass über GearBest tägliche mehrere tausend Transaktionen über die Bühne gehen. Der Shop verkauft Smartphones, Notebooks, Lampen, E-Bikes, aber auch Klamotten und ist damit sehr erfolgreich. Als Teil des weltweit agierenden Unternehmens Globalegrow steuert der Online-Shop einen großen Anteil zu den 1,5 Milliarden Dollar Jahresumsatz aus dem Jahr 2017.

GearBest Logo

Wo liegt die Sicherheitslücke?

Vor gut anderthalb Jahren, also Ende 2017, gab es schon einmal eine Sicherheitslücke bei GearBest, durch welche GearBest-Passwörter auf einer anderen Website aufgetaucht sind. Die Hacker konnten nun aber einen größeren Angriff auf die GearBest-Datenbank vornehmen. Sie konnten sich Zugriff auf Bestellungsdatenbank, Zahlungs- und Rechnungsdatenbank und Accountdatenbank verschaffen. Sprich: Zahlungsinformationen, persönliche Daten, Rechnungen, Bestellhistorien, Ausweis-/Reisepassinformationen, IP-Adressen und E-Mail Adressen waren nicht verschlüsselt beziehungsweise nicht gut verschlüsselt!

GearBest Hack VPN Mentor Daten
Bildquelle: VPNMentor.

Das ist natürlich ein enormes Problem und könnte, gerade aufgrund der Zahlungsinformationen auch potenziellen finanziellen Schaden bei Kunden verursachen. Um diesen „Hackerangriff“ in Kontext zu setzen: dabei handelt es sich um Ethical Hacking, also nicht um „böses“ Hacken, sondern um ein Einbruch in die Datenbank, um Schwächen im System ausfindig zu machen, damit, in diesem Fall GearBest, diese Sicherheitslücken schließen kann. Dieser Hackerangriff geschah also aus einer guten Absicht und bedeutet nicht, dass eure persönlichen Daten irgendwie missbraucht wurden.

Was kann ich machen?

Aber das heißt eben auch nicht, dass man das getrost ignorieren kann! Wir haben selbst schon unsere sensiblen Daten aus unserem GearBest-Account entfernt. Genau das empfehlen wir euch auch, und nicht nur für GearBest. Hier empfiehlt sich auch eine Änderung eueres PayPal-Passworts und eures E-Mail Passworts, das mit GearBest verknüpft wurde. Viel mehr können wir aktuell noch nicht empfehlen. Für die Zukunft empfiehlt sich auch eine extra Spam-Mail Adresse zu benutzen.

Wir haben GearBest natürlich schon kontaktiert und warten entsprechend auf ein Statement seitens des Online-Shops. Bisher wurden wir nur vertröstet: „Wegen des Datenleaks suchen wir eine Lösung. Etwas näheres kann ich jetzt leider nicht sagen.“ Sobald wir mehr wissen, werden wir diesen Artikel natürlich aktualisieren und euch auf dem Laufenden halten.

Wenn du über einen Link auf dieser Seite ein Produkt kaufst, werden wir oft mit einer kleinen Provision beteiligt. Für dich entstehen dabei keine Mehrkosten. Wo du ein Produkt kaufst, bleibt natürlich dir überlassen.
Danke für deine Unterstützung.

Warum beeinflusst das in keinster Weise unser Testurteil?
Profilbild von Thorben Thorben

Thorben

Seit Sommer 2017 bei CG und sehr begeistert von allen technischen Spielereien! Besonders interessiert an Smartphones und Smartwatches.

Sortierung: Neueste | Älteste

Kommentare (25)

  • 15.03.19 um 09:47

    mija1605

    Und wie lösche ich meine Zahlungsdaten bei Gearbest?? Paypal Visa…. Ich kann auf der Hp dazu nichts finden.

    • Profilbild von Hand
      15.03.19 um 09:49

      Hand

      @mija1605: Und wie lösche ich meine Zahlungsdaten bei Gearbest?? Paypal Visa…. Ich kann auf der Hp dazu nichts finden.

      Geschweige denn, wie lösche ich den Account?

      • 15.03.19 um 15:32

        Keirez

        @mija1605: Und wie lösche ich meine Zahlungsdaten bei Gearbest?? Paypal Visa…. Ich kann auf der Hp dazu nichts finden.

        @Hand: Geschweige denn, wie lösche ich den Account?

        Man kann Accounts nur über den Support löschen

  • Profilbild von Gast
    15.03.19 um 09:53

    Anonymous

    Wo kann man denn den Account löschen? Ich finde die Option irgendwie nicht, die Webseite ist so ****** verschachtelt..

    • 15.03.19 um 15:33

      Keirez

      @Anonymous: Wo kann man denn den Account löschen? Ich finde die Option irgendwie nicht, die Webseite ist so ****** verschachtelt..

      Man kann Accounts nur über den Support löschen

      @Anonymous: Wo kann man denn den Account löschen? Ich finde die Option irgendwie nicht, die Webseite ist so ****** verschachtelt..

      Man kann Accounts nur über den Support löschen

  • Profilbild von Fritz
    15.03.19 um 10:15

    Fritz

    Wenn die sensiblen Daten schon abgesaugt wurden, welchen Sinn soll es dann haben, diese im GearBest Account noch zu löschen? Bzw den GearBest Account an sich zu löschen?

    Und GearBest hat zwar meine Email Adresse aber nicht das Passwort dazu, ebenso wenig wie mein PayPal Passwort. Das hab ich immer noch stets bei PayPal eingegeben. Warum sollte ich das also ändern, sofern ich nicht ein Passwort für alles drei (GearBest, Email, PayPal) benutze?

    • Profilbild von Gast
      15.03.19 um 10:38

      Anonymous

      Abgesaugt wurde noch nix. Weil es doch friendly Hacker waren. Daten wurden beim letzten Mal schon abgesaugt…möglicherweise.
      Ich glaube das mit der E-Mailadresse und dem Passwort ist nur was unglücklich ausgedrückt oben. Die Passwörter sollte man aus reiner Vorsicht ändern. Ich kenne meine schon nicht mehr auswendig. 🙁
      Meinen Gearbest account lasse ich trotzdem löschen. Meine letzte Bestellung war anfang letzten Jahres. Ich bestelle nur noch woanders und schon mal keine Handy, oder Laptops.

      • Profilbild von Fritz
        15.03.19 um 10:47

        Fritz

        Naja wenn nichts abgesaugt wurde, sollte das ändern des GearBest Passworts ja schon reichen um Missbrauch vorzubeugen.

  • Profilbild von Gast
    15.03.19 um 10:19

    Anonymous

    Ich schliesse mich meinen Vorrednern an. Wieso nur eine Empfehlung hier und nicht sofort eine ganz kurze knackige Anleitung. Für mich ist dieses zweite Leck nämlich der Anlass auch meinen Account zu löschen. Ich habe nun seit nem guten Jahr dort nichts mehr bestellt, daher will ich meinen Account nun löschen.

    • Profilbild von Gast
      15.03.19 um 10:35

      Anonymous

      @Anonymous: Ich schliesse mich meinen Vorrednern an. Wieso nur eine Empfehlung hier und nicht sofort eine ganz kurze knackige Anleitung. Für mich ist dieses zweite Leck nämlich der Anlass auch meinen Account zu löschen. Ich habe nun seit nem guten Jahr dort nichts mehr bestellt, daher will ich meinen Account nun löschen.

      Sooo, ich hab den Gearbest Livechat genutzt. Das scheint man wohl machen müssen, um seinen Account zu löschen. Entweder Livechat, oder eine E-Mail an Gearbest, mit der Bitte, dass Konto dauerhaft zu löschen. Es kommt dann laut Service eine Bestätigungs-E-Mail, wo man die Kontolöschung nochmal bestätigen muss.

      • 15.03.19 um 10:48

        Thorben CG-Team

        @Anonymous: Live-Chat geht also auch, gut, danke! Habe unten mal den Weg über E-Mail beschrieben!

        • Profilbild von Gast
          16.03.19 um 10:55

          Anonymous

          @Thorben: @Anonymous: Live-Chat geht also auch, gut, danke! Habe unten mal den Weg über E-Mail beschrieben!

          Hab heute morgen die Versprochene E-Mail vom Support bekommen.
          Sie wollten erneut wissen, warum ich meinen Account löschen will. Langsam wirds nervig! Ich hoffe nun, dass sie den Account endlich löschen.
          Hab das letzte Mal dort vor nem Jahr bestellt.

  • 15.03.19 um 10:47

    Thorben CG-Team

    Den GearBest Account zu löschen ist tatsächlich nicht so einfach, das war im Text anders gemeint, hab es korrigiert. Im Account selbst hat man nämlich nicht die Option, diesen zu löschen. Das geht nur über den Kontakt zum Support.

    Zitat aus der Datenschutzrichtlinie von GearBest: You have the right to access, correct, or delete the personal information that we collect.

    Die E-Mail Adresse lautet: support@gearbest.com

    Ihr könntet so etwas schreiben wie:
    Dear Customer Service of GearBest,
    Because of your current data breach I want to exercise my right to delete all my personal data including name, shipping address, payment information, phone number, passport information and further personal information in my GearBest account. I request that you delete my account completely and that you confirm this action to me.
    Furthermore I withdraw my consent that you are enabled to further process my personal information.

    Best regards,

    Wir empfehlen allerdings im Allgemeinen, erstmal die Ruhe zu bewahren, bis jetzt wurden die Daten schließlich noch nicht missbraucht. Falls ihr noch neu im Thema China-Shopping seid: Es empfiehlt sich immer, mit der Zweit- oder Drittmailadresse einen Account zu erstellen, ein sicheres Passwort, welches ihr sonst nicht benutzt, zu benutzen, nicht eure richtige Telefonadresse anzugeben und Zahlungen über PayPal abzuwickeln.

  • 15.03.19 um 11:05

    servus

    Und was passiert mit meinen guten Punkten wenn ich mein Account lösche

    • 15.03.19 um 12:03

      Thorben CG-Team

      @servus: Deswegen würden wir auch noch nicht empfehlen den Account zu löschen, können es aber natürlich verstehen, wenn ihr das machen wollt. Erstmal Passwörter ändern reicht schon einmal, das Statement von GearBest kommt wohl noch im Laufe des Tages.

  • Profilbild von LaVey
    15.03.19 um 11:05

    LaVey

    Wenn man sich über sein Google Konto bei Gearbest einloggt, welche Daten hat Gearbest dann überhaupt außer die Anschrift? Passwort und Zahlungdaten laufen ja über Google bzw. PayPal.

  • 15.03.19 um 13:15

    servus

    @Thorben: alles klar, danke, ich werde erstmal nix machen, abwarten

  • Profilbild von billy
    15.03.19 um 13:33

    billy

    Jetzt ist in Zweifel eh zu spät. Ich verstehe die ganzen Profillöscher nicht.

  • 15.03.19 um 13:37

    SmashD

    Account löschen? Wozu? Dann macht mal mit ALLEN anderen weiter, alle großen Seiten würden und werden ausgespäht, das ist leider so. Und im Nachhinein löschen bringt nun was genau? Denkzettel Richtung Plattform? Eher nicht.

    • Profilbild von Gast
      16.03.19 um 10:58

      Anonymous

      @SmashD: Account löschen? Wozu? Dann macht mal mit ALLEN anderen weiter, alle großen Seiten würden und werden ausgespäht, das ist leider so. Und im Nachhinein löschen bringt nun was genau? Denkzettel Richtung Plattform? Eher nicht.

      Komisch, dass andere Seiten nicht so gehackt wurden in der letzten Zeit. Ich finds bedenklich, dass die nichts aus dem letzten Angriff gelernt haben.
      Ausserdem, warum sollte ich einen Account bestehen lassen, bei dem ich das letzte Mal vor nem Jahr was bestellt habe. Dealextrem und Focalprice habe ich auch löschen lassen.

  • Profilbild von Andi
    15.03.19 um 14:41

    Andi

    ich habe vor 6 Monaten versucht über den Support meinen Account zu löschen.
    Mit dem Hinweis, den Account nicht mehr nutzen zu wollen, mir die Punkte egal sind, ich für bestellte Produkte keinerlei Garantieansprüche geltend machen zu wollen, etc. – besteht der Account heute noch.
    Gearbest verweigert schlicht das Löschen des Accounts – es wäre ja nur zu meinen besten, weiter über tolle Angebote informiert zu werden und mit der Weiterentwicklung des Shops ganz tolle neue Erfahrungen zu machen 🙁
    Ja, man kann alle seine Daten versuchen zu ändern, aber es bleibt alles im Hintergrund erhalten. Ich habe versucht die E-Mail Adresse des Accounts zu ändern, aber praktisch bleibt die initiale E-Mail Adresse erhalten.
    Den persönlichen, nicht jugendfreien Kommentar dafür spare ich mir mal.

    Wer unterdessen einen Weg weiß, beziehungsweise findet einen Account wirklich zu löschen, gerne hier teilen.

  • 15.03.19 um 15:47

    darktranquility

    Also wenn der Shop tatsächlich die Passwörter im Klartext und nicht als Hash speichert, hat einer echt nicht nachgedacht…

  • 16.03.19 um 01:17

    Nage

    Wie kann man eigentlich die Account Mail-Adresse ändern? Finde nur die Mail-Adresse bei den Versandadressen, aber der Login läuft ja über eine extra Mail-Adresse.

  • Profilbild von Bernd
    16.03.19 um 11:28

    Bernd

    Gearbest ist der letzte Dreck! Betrügerverein!

Kommentar schreiben

Name
E-Mail
Diese E-Mail-Adresse wird nicht veröffentlicht

Mit Absenden des Formulars akzeptiere ich die Datenschutzerklärung und die Nutzungsbedingungen.