Dukaan E-Commerce-Datenleck legt Millionen offen – Hacker konnten auf Zahlungsschlüssel zugreifen

Dukaan E-Commerce-Datenleck legt Millionen offen – Hacker konnten auf Zahlungsschlüssel zugreifen

Das Dukaan E-Commerce-Datenleck hat sensible Händler- und Kundendaten von Millionen Nutzern offengelegt.
Sicherheitsforscher entdeckten, dass ein falsch konfigurierter Apache Kafka-Broker über mehr als zwei Jahre hinweg ungeschützte Daten übertrug.
Der Vorfall betraf Dukaans globale Plattform, die über 3,5 Millionen Händler hostet und fast 16 Millionen Kunden bedient.

Wie es zu dem Datenleck kam

Die offengelegte Kafka-Instanz verfügte weder über Authentifizierung noch über angemessene Zugriffskontrollen.
Seit August 2023 übermittelte sie täglich mehr als 270.000 Nachrichten, darunter Zahlungsdaten und Bestellinformationen.
Forscher fanden Authentifizierungs-Token, die mit großen Zahlungsdiensten wie Stripe, PayPal und RazorPay verknüpft waren.
Diese Token hätten es Angreifern ermöglichen können, auf Finanzsysteme zuzugreifen, Bestellungen zu ändern oder betrügerische Transaktionen durchzuführen.

Erhebliche Sicherheits- und Finanzrisiken

Experten warnen, dass das Dukaan E-Commerce-Datenleck ideale Bedingungen für Cyberkriminelle geschaffen hat.
Angreifer mit Zugriff auf die offengelegten Schlüssel könnten Kundenzahlungsdaten stehlen oder sich als Händler ausgeben.
Sie könnten auch gefälschte Rückerstattungen verarbeiten, Geld abzweigen oder Benutzer über Phishing-Kampagnen angreifen.
Da das Leck über Jahre hinweg bestand, könnten Angreifer die Daten bereits ausgenutzt haben, ohne entdeckt zu werden.

Auswirkungen auf Händler und Kunden

Die offengelegten Daten umfassten vollständige Kundennamen, Telefonnummern und E-Mail-Adressen.
Hacker könnten diese Informationen für Identitätsdiebstahl, Social Engineering oder Phishing-Angriffe verwenden.
Auch Händler sind gefährdet, da offengelegte Zahlungsschlüssel zu unautorisierten Transaktionen führen könnten.
Sicherheitsexperten bezeichnen diesen Vorfall als eine der schwerwiegendsten E-Commerce-Datenpannen Indiens in diesem Jahr.

Entdeckung und Reaktion

Cybersicherheitsforscher entdeckten das Problem erstmals am 27. August 2025.
Sie informierten umgehend Dukaan und das Computer Emergency Response Team of India (CERT-In).
Der Broker wurde schließlich am 8. Oktober abgesichert und damit über zwei Jahre offener Exposition beendet.
Dukaan hat jedoch bislang keine offizielle öffentliche Stellungnahme zu dem Vorfall abgegeben.

Was Nutzer jetzt tun sollten

Sicherheitsexperten empfehlen sofortige Maßnahmen:

  • Händler sollten alle Zahlungsschlüssel und API-Zugangsdaten rotieren.
  • Kunden sollten Bankkonten und Kreditkarten auf verdächtige Aktivitäten überwachen.
  • Unternehmen, die Dukaan nutzen, sollten Zugriffsprotokolle und Netzberechtigungen überprüfen.
  • Alle Nutzer sollten wachsam gegenüber Phishing-Versuchen sein, die mit den geleakten Daten durchgeführt werden.

Fazit

Das Dukaan E-Commerce-Datenleck verdeutlicht die wachsenden Risiken durch Fehlkonfigurationen in der Cloud und mangelhafte Authentifizierung.
Mit Millionen betroffenen Kunden und Händlern könnten die finanziellen und reputationsbezogenen Schäden erheblich sein.
E-Commerce-Plattformen müssen strenge Sicherheitsrichtlinien durchsetzen – denn ein einziger offengelegter Server kann ein ganzes Ökosystem gefährden.

Siyana Georgieva

0 Kommentare zu „Dukaan E-Commerce-Datenleck legt Millionen offen – Hacker konnten auf Zahlungsschlüssel zugreifen“