Lebensmittel-Lieferplattform legt Kundennamen und Adressen offen

GonnaOrder, eine in Europa ansässige Lebensmittel-Lieferplattform, hat eine ungeschützte Instanz hinterlassen, wodurch die Daten von Feinschmeckern für jeden zugänglich waren, der sie einsehen wollte.

Der Kampf gegen Heißhungerattacken kann mehr als nur Ihrer Taille zugute kommen. Das Forschungsteam von Cybernews hat kürzlich entdeckt, dass die Lebensmittel-Liefer-App GonnaOrder die persönlichen Daten von Tausenden von Menschen preisgegeben hat.

Die Hauptursache für die Datenpanne – eine falsch konfigurierte Kafka-Broker-Instanz – legte Bestellinformationen in Echtzeit offen. Während das Team die Datenpanne nur eine Stunde lang überwachte, wurden die Daten von über zweitausend einzelnen Kunden offengelegt.

Besorgniserregend ist, dass das Team davon ausgeht, dass die undichte Instanz aufgrund ihrer Indizierung in einer IoT-Suchmaschine bereits seit August 2022 offen war.

Nachdem die Forscher wiederholt versucht hatten, das Unternehmen zu kontaktieren, schloss GonnaOrder die Instanz schließlich Ende Mai 2025. Wir haben das Unternehmen um eine Stellungnahme gebeten und werden den Artikel aktualisieren, sobald wir eine Antwort erhalten.

„Während der gesamten Zeit, in der die exponierte Instanz offen war, hätten böswillige Akteure Millionen von Kundendaten abgreifen können, darunter Namen, Telefonnummern, Privatadressen sowie Bestelldetails, die oft private Informationen wie Zugangscodes zum Betreten des Gebäudes enthalten“, so das Team.

Welche Details wurden durch die Datenpanne bei GonnaOrder offengelegt?

Nach Angaben des Teams wurden durch die undichte Kafka-Broker-Instanz zahlreiche Bestelldetails offengelegt, von denen Kunden von Restaurants, Bars, Hotels und kleinen Geschäften in mehreren europäischen Ländern betroffen waren.

Die meisten betroffenen Kunden befanden sich im Vereinigten Königreich, in Belgien, Griechenland, Deutschland und den Niederlanden.

Darüber hinaus ist Kafka eine Echtzeitplattform, die den Datenaustausch zwischen mehreren Systemen erleichtern soll. Sie ist nicht für die langfristige Speicherung gedacht und speichert keine großen Datenmengen. Angreifer können jedoch einen „Collector“ einrichten, um die undichte Instanz über einen längeren Zeitraum hinweg „auszuschaben“ und so im Laufe der Zeit große Datenmengen zu extrahieren.

„Während der gesamten Zeit, in der die exponierte Instanz offen war, hätten böswillige Akteure Millionen von Kundendaten abgreifen können, darunter Namen, Telefonnummern, Privatadressen sowie Bestelldetails, die oft private Informationen wie Zugangscodes für Gebäude enthalten“, so das Team.

Insgesamt schätzt das Team, dass folgende Daten offengelegt wurden:

• Kundenbestellungen
• Restaurants und Hotels, in denen Bestellungen aufgegeben wurden
• Telefonnummern von Kunden
• E-Mail-Adressen
• Privatadressen
• Lieferhinweise
• Verwendete Zahlungsmethoden

Es gibt zahlreiche Möglichkeiten, wie Angreifer diese Art von Daten nutzen können. Einer der häufigsten Verwendungszwecke für gestohlene Daten ist der Identitätsdiebstahl. Angreifer könnten auch versuchen, die Daten im Dark Web an Personen zu verkaufen, die daran interessiert sind, potenziell offengelegte Zugangscodes für physische Straftaten wie Einbruch zu nutzen.

• Leak discovered: March 26th, 2025
• Initial disclosure: April 2nd, 2025
• CERT contacted: April 9th, 2025
• Leak closed: May 27th, 2025

---

Bild/Quelle: https://depositphotos.com/de/home.html