KFoodora ist zurück – allerdings in einer Form, die bei den ehemaligen Kunden wohl alles andere als Begeisterung auslösen dürfte. Vor kurzem ist bekannt geworden, dass der mittlerweile eingestellte Lieferdienst bereits im Jahr 2016 gehackt wurde – und zwar im großen Stil.

(Fast) alles mit dabei

Namen, Adresse, Telefonnummer, Passwörter, Registrierungsdatum, letzter Login, Kunden-Codes und zum Teil auch exakte Standortdaten: All dies konnten bislang unbekannte Angreifer von 727.000 Foodora-Kunden aus 14 Ländern erbeuten. Darunter sind auch rund 24.000 Kunden aus Österreich – und damit alle, die zu dem damaligen Zeitpunkt einen Foodora-Account hatten. Deutschland, Frankreich und Spanien befinden sich ebenfalls auf der Liste der betroffenen Länder.

Öffentlich wurde der Vorfall nun, weil die Daten Mitte Mai zunächst in einem einschlägigen Forum gepostet und dann von anderen weiterverbreitet wurden. Dies führte wiederum dazu, dass die Informationen in die Hände von Sicherheitsexperte Troy Hunt kamen, der sich auf die Sammlung solch großer Datenlecks spezialisiert hat – und der den Foodora-Besitzer, die deutsche Firma Delivery Hero, informierte.

Nutzer bleiben im Dunkeln

Bei Delivery Hero bestätigt man den Vorfall mittlerweile gegenüber dem STANDARD und betont, dass die Datenschutzbehörden bereits informiert wurden – so wie es die Datenschutzgrundverordnung vorschreibt. Die betroffenen Kunden wurden hingegen noch nicht in Kenntnis gesetzt, da derzeit noch die internen Untersuchungen laufen. Wann man diesen Schritt nachholen will, lässt die Firma auf explizite Nachfrage des STANDARD allerdings offen.

Welche Daten konkret erbeutet wurden, ist durch den Leak aber ohnehin klar. So besteht die Datensammlung jeweils aus zwei SQL-Dateien für jedes Land, eine für die Adresse, eine für andere Kundeninformationen. Neben den bereits erwähnten Punkten sollen sich darin zum Teil auch Anmerkungen der Nutzer finden, die sie für die Lieferanten hinterlassen haben. Bei den erwähnten Standortdaten soll es sich um exakte GPS-Positionen handeln – auf sechs Nachkommastellen genau.

Passwörter geschützt

Zumindest in einer Hinsicht hat Sicherheitsexperte Hunt gegenüber Data Breach Today gute Nachrichten: Die meisten der enthaltenen Passwörter scheinen gut geschützt zu sein. Durch eine Verschlüsselung mit Bcrypt (Faktor 11) sollten sie gegen Angriffe gut gerüstet sein. Allerdings sind auch einige – wohl zu dem Zeitpunkt schon länger nicht mehr genutzte – Konten lediglich mit einem via MD5 gehashten Passwort gespeichert. Dies sollte wesentlich leichter zu knacken sein. Finanzdaten – also etwa Kreditkarteninformationen – sollen hingegen nicht enthalten sein.

Wer wissen will, ob er betroffen ist, kann dies über die von Hunt betriebene Webseite "Have I Been Pwned" überprüfen. Dort reicht es, die eigene E-Mail-Adresse einzugeben, um herauszufinden, ob man Opfer eines bekannten Hacks geworden ist. Und die Foodora-Daten hat Hunt hier bereits eingespielt. Da Foodora mittlerweile nicht mehr existiert, können die Nutzer natürlich dort das Passwort nicht mehr ändern. Stattdessen sollten sie aber überlegen, wo sie sonst noch dieselbe Nutzername-Passwort-Kombination verwendet haben – und dort dann das Passwort tauschen. Immerhin verwenden Angreifer oft automatisiert Informationen aus bekannten Hacks, um dann in die Konten bei anderen Diensten einzubrechen.

Warnung, ignoriert

Es gibt aber noch einen zweiten Vorfall, der dem aktuellen Leak in der Retrospektive eine besonders pikante Note verleiht, und der auch zeigt, dass die Daten auf dem Schwarzmarkt schon länger kursiert sein dürften. So hat der STANDARD bereits im November 2017 Foodora aufgrund des Hinweises eines Lesers über ein mögliches Datenleck informiert. Dieser hatte Spam-Mails an eine Adresse erhalten, die ausschließlich für den Foodora-Kontakt genutzt wurde. Ein Sprecher des Lieferdiensts versicherte damals allerdings, dass es "keinerlei Anzeichen eines Datenlecks oder Hacks" gebe. Da man auch keine Daten an Dritte weiterverkaufe und die Kundeninformationen auf den eigenen Servern "mit der höchstmöglichen Sicherheit (...) hinterlegt seien", unterstellte man ein Sicherheitsproblem beim Kunden.

Doch auch unabhängig davon könnte bald Ungemach auf den Mutterkonzern Delivery Hero zukommen. Immerhin wird der Vorfall wohl eine Untersuchung nach der Datenschutzgrundverordnung nach sich ziehen, bei der eine saftige Strafe für die Firma anstehen könnte. Es wäre aber auch nicht die erste DSGVO-Strafe, die Delivery Hero berappen muss: Erst im vergangenen September wurde das Unternehmen wegen mehrerer Verstöße gegen die EU-Richtlinie zu 195.000 Euro verurteilt. So wurden etwa die Daten von ehemaligen Kunden auch nach deren Aufforderung nicht gelöscht, sie bekamen weiter Werbemails von der Firma.

Abgang

In Österreich wurde Foodora im Jahr 2019 eingestellt. Der Grund dafür war recht simpler Natur: Mit Mjam betreibt Delivery Hero hierzulande nämlich noch einen weiteren Lieferdienst. Für die Zukunft wolle man sich lieber auf eine Marke konzentrieren, hieß es zum Abschied. Marktstart in Österreich war 2015, gegründet wurde der Service ein Jahr zuvor in Deutschland. (Andreas Proschofsky, 30.6.2020)