Boodschappenbezorgdienst Gorillas heeft de gegevens van 200.000 klanten en bezorgers gelekt, waaronder naam, adresgegevens, e-mailadres, telefoonnummer, bestelgegevens, creditcardgegevens en foto van voordeur. In het geval van bezorgers ging het om hun naam en telefoonnummer, zo blijkt uit onderzoek van it-collectief Zerforschung. Gorillas is onder andere actief in Amsterdam, Den Haag, Groningen, Leiden, Rotterdam en Utrecht.

De data van klanten en bezorgers was eenvoudig toegankelijk via een API waar Gorillas gebruik van maakt. Om informatie over geplaatste bestellingen op te vragen is een JSON-webtoken vereist. De app genereert dit token zodra de gebruiker inlogt. De onderzoekers ontdekten dat ze met dit token niet alleen hun eigen bestelgegevens konden inzien, maar die van alle andere klanten. Het ging om meer dan één miljoen bestellingen. Tevens bleek ook de informatie van bezorgers toegankelijk.

De onderzoekers waarschuwden de Duitse overheidsinstantie CERT-Bund, die Gorillas informeerde. Daarop werd de kwetsbaarheid verholpen. Gorillas heeft alle getroffen klanten een e-mail gestuurd. Onlangs ontdekten onderzoekers van Zerforschung een soortgelijke kwetsbaarheid bij bezorgdienst Flink. “We hadden de hoop dat de kwetsbaarheid bij Flink een waarschuwing voor alle aanbieders zou zijn en ze hun eigen systemen op soortgelijke problemen zouden controleren. We zijn verrast dat zelfs met een miljoeneninvestering er geen basale controle van de it-security plaatsvindt.” De afgelopen weken werd er 290 miljoen dollar in Gorillas geïnvesteerd.

Source