OlaCabs Berichten zufolge gehackt, setzt Benutzerdaten und Kreditkartenhistorie aufs Spiel [Aktualisiert]

Der beliebte Online-Taxiaggregator OlaCabs wurde Berichten zufolge gehackt. Die Enthüllung stammt von Reddit, wo eine Hackergruppe behauptet, die Datenbankstruktur des Taxiaggregators zu besitzen, die — so behaupten sie — aus sensiblen Informationen wie Kreditkartentransaktionsdetails, Benutzerdaten und ungenutzten Gutscheincodes besteht.

Die angeblichen Hacker, die sich auf Reddit “TeamUnknown” nennen, haben veröffentlicht, was anscheinend Screenshots der internen Datenbankstruktur des Unternehmens sind. Das Team weist weiter darauf hin, dass die Server von OlaCabs sehr schwach konfiguriert waren, was es ihnen erleichterte, sensible Informationen wie die Kreditkartentransaktionshistorie der Kunden und ungenutzte Gutscheine aus der Datenbank zu erlangen.

“Ihr Anwendungsdesign ist sehr schlecht und ihr Entwicklungsserver ist schwach konfiguriert. Der Hack war ein wenig knifflig und erforderte viele Schritte, um zur Datenbank zu gelangen. Sobald wir zur Datenbank gelangten, war es wie im Lotto zu gewinnen. Es hatte alle Benutzerdaten zusammen mit der Kreditkartentransaktionshistorie und ungenutzten Gutscheinen,” schreibt das Team. “Die Gutscheincodes sind noch nicht einmal veröffentlicht. Es ist offensichtlich, dass wir die Kreditkartendaten und Gutscheincodes nicht verwenden werden.”

Wir haben das Unternehmen um einen Kommentar gebeten, aber bisher scheint Ola ahnungslos zu sein. Es hat noch nicht auf unsere E-Mail geantwortet, und einer seiner Vertreter hat das Gespräch beendet, nachdem er von dem Hack erfahren hatte. Wenn es einen Hack gegeben hat, wäre dies der zweite große Sicherheitsvorfall in letzter Zeit. Vor zwei Wochen hatte auch der beliebte Musikstreamingdienst Gaana.com einen Sicherheitsvorfall.

Dies ist nicht das erste Mal, dass der Service von OlaCabs wegen schlechter Sicherheit unter die Lupe genommen wird. Anfang dieses Jahres berichteten zwei Hacker von einer Schwachstelle in der OlaCabs-App. Sie wiesen auf ein schwaches Design in der Datenbank und schwache Sicherheit in der App hin und entwickelten einen Weg, digitale Geldbörsen kostenlos aufzuladen. TeamUnknown stellt glücklicherweise fest, dass es nicht beabsichtigt, die Daten missbräuchlich zu verwenden.

Update: OlaCabs hat schließlich eine Erklärung abgegeben, in der die Ansprüche kategorisch zurückgewiesen werden:

Es gab keinerlei Sicherheitslücke in Bezug auf Benutzerdaten. Der angebliche Hack scheint in einer Staging-Umgebung durchgeführt worden zu sein, als sie für einen unserer Testläufe exponiert war. Die Staging-Umgebung befindet sich in einem völlig anderen Netzwerk im Vergleich zu unserer Produktionsumgebung und hat nur Dummy-Benutzerwerte, die ausschließlich für interne Testzwecke verwendet werden. Wir bestätigen, dass es keinen Versuch der Hacker gegeben hat, uns in dieser Hinsicht zu kontaktieren. Sicherheit und Privatsphäre der Kundendaten sind uns bei Ola von größter Bedeutung.

Es sei denn, die Leute hinter TeamUnknown veröffentlichen mehr Beweise, kann dies als Scherz oder vielmehr als falsche Behauptung bezeichnet werden.