Eine riesige Fundgrube von mehr als 120.000 Pässen, Führerscheinen und Identitätsdokumenten, die von Nutzern des Bike-Sharing-Dienstes Mobike hochgeladen wurden, wurden online gefunden.
Sicherheitsforscher Bob Diachenko fand die Daten am 11. Februar in einem ungeschützten, von Amazon gehosteten Speicher-Bucket und gab Details an Tech weiter, um die Daten zu sichern. Der Name des Eimers deutet darauf hin, dass er Mobike gehörte, einem einst vielversprechenden Bike-Sharing-Betreiber, der in China gegründet wurde. Jeder, der den leicht zu erratenden Bucket-Namen kannte, konnte in seinem Webbrowser die Fundgrube an Pässen und Ausweisdokumenten durchsuchen, die bis ins Jahr 2017 zurückreicht und täglich größer wird.
Der Bucket speicherte Identitätsdokumente, die Benutzer hochladen müssen, bevor sie Mobike verwenden können. Der Bucket enthielt außerdem 94.000 Kunden-Selfies und 49.000 Kundensignaturen zur Überprüfung der Benutzeridentität. Fast alle Ausweisdokumente waren für Benutzer in Lateinamerika, einschließlich Argentinien und Brasilien. Aber keine der Daten war verschlüsselt.
Mobike wurde 2015 in Peking gegründet und wechselte mehrfach den Besitzer. Es wurde einst als Bike-Sharing-Pionier in China gefeiert, ein boomendes Startup, das Milliarden von Investitionskapital einnahm, bevor es 2018 vom chinesischen On-Demand-Dienstleistungsriesen Meituan für 2,7 Milliarden US-Dollar aufgekauft wurde. Mobikes in China ansässiger Betrieb wurde später in umbenannt Meituan Fahrrad.
Mobike hatte internationale Ambitionen, geriet aber in schwere Zeiten. In den Monaten nach der Übernahme durch Meituan, das später beschloss, das internationale Geschäft von Mobike zu veräußern, um Kosten zu senken, blutete es Hunderte von Millionen Dollar. Der Plan war, Mobike in Südostasien einzustellen, aber in Nordostasien, Lateinamerika und Europa durch lokale Partner am Laufen zu halten.
Aber als er wegen der Sicherheitslücke kontaktiert wurde, schien niemand das Eigentum – oder die Verantwortung – für die offengelegten Daten übernehmen zu wollen.
Als Meituan-Sprecher Xiang Xi von Tech erreicht wurde, sagte er, das Unternehmen habe „nichts mit der Angelegenheit zu tun“, da es das Lateinamerika-Geschäft von Mobike im August 2019 verkauft habe, lehnte es jedoch ab, zu sagen, wer das Unternehmen erworben habe, unter Berufung auf eine Geheimhaltungsvereinbarung deutlich schwieriger, genau zu wissen, an wen man sich bezüglich der exponierten Kundendaten wenden kann.
Viele der Dateien im exponierten Eimer stammen jedoch aus der Zeit vor August 2019, als Meituan angeblich noch Eigentümer von Mobike war.
Tech hat eine Reihe öffentlicher und privater E-Mail-Adressen kontaktiert, von denen bekannt ist, dass sie mit Mobike in Verbindung stehen. Viele E-Mails wurden nicht zurückgeschickt, während andere mit einer Fehlermeldung zurückkamen, dass unsere E-Mails nicht zugestellt werden konnten. Mehrere Nachrichten mit der Webadresse des exponierten Buckets wurden an eine Mobike-Kundendienstnummer auf WhatsApp gesendet, aber nicht beantwortet.
Bis Ende Mai war der Eimer gesichert. Wer genau den Eimer gesichert hat, ist bis heute nicht klar.
Es ist auch nicht bekannt, wie lange der Eimer ausgesetzt war – oder wie der Inhalt des Eimers überhaupt öffentlich wurde. Da die Speicher-Buckets von Amazon standardmäßig privat sind, muss jemand, der die Kontrolle über die Buckets hat, seine Berechtigungen geändert haben, um den öffentlichen Zugriff zu ermöglichen.
Zum Zeitpunkt des Schreibens hat Mobike auf seiner Website oder einem seiner Social-Media-Profile – die seit 2019 nicht mehr gepostet wurden – keine Erklärung zu dem Sicherheitsvorfall abgegeben.