Informierte Stellen: Tom & Poolee Deutschland GmbH und der bremische Landesbeauftragte für Datenschutz und Informationsfreiheit (beide am 01.03.2025)

Wieder verliert ein Lieferdienst-Bestellsystem Daten: Im Bestellsystem von Tom & Poolee war ein Login ohne Passwort möglich.

Loggte man sich via Gmail ein, wurde eine ID in der URL sichtbar: https://<domain>/google-loggedin/Logged%20in!-000001. Ohne Passwort und allein durch Aufruf dieser URL konnte man sich ebenfalls einloggen.

Anschließend konnte man sich durch Hochzählen der ID als eine von ca. 200.000 anderen Kund*innen einloggen. Verschiedene Lieferdienste teilen sich dabei offenbar ein Backend; die gleiche ID führte bspw. bei Restaurants in Hagen, Ritterhude und Hamburg zu den gleichen Daten eines Kunden aus Bremen.