bedeckt München 20°

Datenleck:Daten von 200 000 deutschen Foodora-Nutzern geleakt

Mit einer Protestaktion der Fahrrad Auslieferer von Deliveroo und Foodora vor dem Geschäftssitz Deli

Delivery Hero ist einer der international erfolgreichsten Lieferservices.

(Foto: snapshot-photography/F.Boillot/imago/snapshot)

Offenbar bereits 2016 konnten Hacker die Kundendaten stehlen. Jetzt landeten sie im Netz. Es geht um Namen, Telefonnummern, Adressen und Passwörter.

Von Marisa Gierlinger

Der Lieferdienst Foodora wurde 2016 Opfer einer Hacking-Attacke. Persönliche Daten von rund 480 000 Kunden wurden dabei ausgelesen und nun in einem Forum veröffentlicht. Das bestätigte das Unternehmen der Süddeutschen Zeitung. Unter den Betroffenen seien auch 200 000 Deutsche.

Bereits Mitte Juni gab es Berichte, wonach die Daten in einem Darknet-Forum aufgetaucht waren. Troy Hunt, der Betreiber der Datenleck-Datenbank "Have I been Pwned", war dort auf die Sammlung gestoßen und hatte sie anschließend auf seiner Plattform eingespeist. Die Webseite ermöglicht es Nutzern, durch Eingabe ihrer E-Mail-Adresse herauszufinden, ob diese und möglicherweise weitere persönliche Details durch ein bekanntes Datenleck gefährdet sind und missbräuchlich im Internet kursieren.

Zu den Daten, die durch die Accounts ausgelesen werden konnten, zählen unter anderem Namen, Wohn- und E-Mail-Adresse sowie die Telefonnummer der Kunden. Das bestätigen sowohl Foodora als auch der Dienst Have I Been Pwned auf dessen gleichnamigem Twitteraccount. Dieser gibt allerdings mit 583 000 Betroffenen eine deutlich höhere Zahl an. Dass die Zahlen sich in diesem und anderen Berichten von den Angaben von Foodora unterscheiden, kann daran liegen, dass einzelne Nutzer teilweise mehrere Accounts angelegt hatten.

Betroffen sind Hunt zufolge vor allem Kunden, deren Passwort durch das ältere und mittlerweile als unsicher geltende Hash-Verfahren MD5 gesichert waren. Mit solchen Verfahren werden Passwörter in eine Zeichenkombination fester Länge überführt, die dann anstelle des Passworts in der Datenbank hinterlegt wird. Das Leck nun dürfte vor allem Nutzer betreffen, die vor 2016 schon länger nicht mehr auf der Plattform aktiv gewesen sind. Mittlerweile benutzt Foodora eine sicherere Form der Passwortverschleierung. Passwörter im Klartext seien laut dem Unternehmen nicht ausgelesen worden. Betroffene Kunden sollten dennoch vorsorglich ihre Passwörter ändern, da vor allem kürzere verschleierte Passwörter mit modernen Computern dennoch schnell zu knacken sind.

Foodora ist eine Tochter der international tätigen Bestellplattform Delivery Hero, die ihren Sitz in Berlin hat. Auf seiner Homepage schreibt das Unternehmen, man habe gemäß der Datenschutzgrundverordnung noch am selben Tag, als das Leck bekannt wurde, die Datenschutzbehörde informiert. Erst vergangenes Jahr hatte die Berliner Datenschutzbeauftragte Maja Smoltczyk gegen Delivery Hero mit knapp 200.000 Euro das bis dato höchste Bußgeld verhängt, das ein Unternehmen in Deutschland wegen Datenschutzverstößen begleichen musste. Delivery Hero hatte in mehreren Fällen Lösch- und Widerspruchsrechte von Kunden missachtet.

Delivery Hero zufolge wurde das für das Leck verantwortliche Problem mittlerweile identifiziert und behoben. Die bereits geleakten Kundendaten könnten ihrer Auffassung nach allerdings nach wie vor in "Untergrund-Foren" von dort registrierten Nutzern eingesehen werden. Man habe die Betreiber gebeten, die Daten dort unverzüglich zu löschen.

© SZ/mxm
Smiling man using laptop model released Symbolfoto PUBLICATIONxINxGERxSUIxAUTxHUNxONLY GIOF01595

Coronavirus
:Acht Sicherheitsregeln für das Home-Office

Kriminelle fluten das Netz mit Covid-19-Spam und Corona-Phishing. Die Angriffe sind lukrativ, weil viele Menschen von zu Hause auf berufliche Daten zugreifen. Diese Tipps helfen gegen Hacker.

Von Simon Hurtz

Lesen Sie mehr zum Thema

Zur SZ-Startseite