Der Lieferdienst Foodora wurde 2016 Opfer einer Hacking-Attacke. Persönliche Daten von rund 480 000 Kunden wurden dabei ausgelesen und nun in einem Forum veröffentlicht. Das bestätigte das Unternehmen der Süddeutschen Zeitung. Unter den Betroffenen seien auch 200 000 Deutsche.
Bereits Mitte Juni gab es Berichte, wonach die Daten in einem Darknet-Forum aufgetaucht waren. Troy Hunt, der Betreiber der Datenleck-Datenbank "Have I been Pwned", war dort auf die Sammlung gestoßen und hatte sie anschließend auf seiner Plattform eingespeist. Die Webseite ermöglicht es Nutzern, durch Eingabe ihrer E-Mail-Adresse herauszufinden, ob diese und möglicherweise weitere persönliche Details durch ein Datenleck gefährdet sind und im Internet kursieren.
Zu den Daten, die durch die Accounts ausgelesen werden konnten, zählen etwa Namen, Wohn- und E-Mail-Adressen sowie die Telefonnummern. Das bestätigen sowohl Foodora als auch der Dienst Have I Been Pwned auf dessen gleichnamigem Twitteraccount. Dieser gibt allerdings mit 583 000 Betroffenen eine deutlich höhere Zahl an. Dass die Zahlen sich in diesem und anderen Berichten von den Angaben von Foodora unterscheiden, kann daran liegen, dass einzelne Nutzer teilweise mehrere Accounts angelegt hatten.
Betroffen sind Hunt zufolge vor allem Kunden, deren Passwort durch das ältere und mittlerweile als unsicher geltende Verfahren MD5 gesichert waren. Das dürfte vor allem Nutzer betreffen, die vor 2016 länger nicht mehr aktiv gewesen waren. Mittlerweile benutzt Foodora eine sicherere Form der Passwortverschlüsselung. Klartext-Passwörter seien laut dem Unternehmen nicht ausgelesen worden. Betroffene Kunden sollten dennoch ihre Passwörter ändern, da vor allem kürzere verschlüsselte Passwörter mit modernen Computern schnell zu knacken sind.
Foodora ist eine Tochter der international tätigen Bestellplattform Delivery Hero, die ihren Sitz in Berlin hat. Auf seiner Homepage schreibt das Unternehmen, man habe gemäß der Datenschutzgrundverordnung noch am selben Tag, als das Leck bekannt wurde, die Datenschutzbehörde informiert. Erst vergangenes Jahr hatte die Berliner Datenschutzbeauftragte Maja Smoltczyk gegen Delivery Hero mit knapp 200 000 Euro das bis dato höchste Bußgeld verhängt, das ein Unternehmen in Deutschland wegen Datenschutzverstößen begleichen musste. Delivery Hero hatte in mehreren Fällen Lösch- und Widerspruchsrechte von Kunden missachtet.
Delivery Hero zufolge wurde das für das Leck verantwortliche Problem mittlerweile identifiziert und behoben. Die bereits geleakten Kundendaten könnten ihrer Auffassung nach allerdings nach wie vor in "Untergrund-Foren" von dort registrierten Nutzern eingesehen werden. Man habe die Betreiber gebeten, die Daten dort unverzüglich zu löschen.