Комманда хакеров из VPNMentor обнаружила, что китайский гигант онлайн торговли Gearbest хранит данные покупателей в легкодоступных базах данных.
Ребята из VPNMentor обнаружили несколько незащищенных баз данных (Indices) Elasticsearch с миллионами записей, содержащих персональные данные покупателей, информацию о заказах и данные платежей.
Все это добро поддерживается и используется магазином Gearbest, чей сайт входит в Топ 250 крупнейших вебсайтов всего интернета. Gerbest торгует такими крупными брендами как Asus, Huawei, Intel и Lenovo, осуществляет доставку в более чем 250 стран мира и поддерживает локальные версии магазина на 18 языках.
Всего было найдено три свободно доступных базы данных, суммарно содержащих более 1.5 млн. записей:
Самое главное, что эта база данных обновляется, т.е. в нее записываются новые строки с данными новых заказов.
Ребята из VPNMentor обнаружили несколько незащищенных баз данных (Indices) Elasticsearch с миллионами записей, содержащих персональные данные покупателей, информацию о заказах и данные платежей.
Все это добро поддерживается и используется магазином Gearbest, чей сайт входит в Топ 250 крупнейших вебсайтов всего интернета. Gerbest торгует такими крупными брендами как Asus, Huawei, Intel и Lenovo, осуществляет доставку в более чем 250 стран мира и поддерживает локальные версии магазина на 18 языках.
Всего было найдено три свободно доступных базы данных, суммарно содержащих более 1.5 млн. записей:
- База заказов – содержит товары и адреса их доставки, электронная почта покупателей, их имена, и IP-адреса.
- База платежей – состоит из номеров заказов, типов платежей, платежной информации, имен покупателей и их IP-адресов.
- База покупателей – содержит имена покупателей, их даты рождения, адреса, телефонные номера, емейлы, IP-адреса, паспорта и даже пароли доступа к заказам.
Самое главное, что эта база данных обновляется, т.е. в нее записываются новые строки с данными новых заказов.
Daddy_Cool
1. Это очередной раз подтверждает недавно высказанный здесь тезис, что персональные данные пользователей бизнес не волнуют, что в общем логично. Ну хакнули и хакнули — извинятся и всё.
2. Gearbest торгует вполне обычным товаром. Вот если бы хакнули что-то в духе Pulse & Cocktails store — было бы забавно.
3. Интересно как можно использовать полученные данные — номеров карт я так понимаю нет, хотя если есть пароли к заказам — то там возможно сохранены данные карты, но вряд ли их можно вытащить. Хотя как добавочная информация при поиске инфы о человеке — может помочь каждая мелочь.
4. Возмущаемся, вздыхаем… и продолжаем покупать в интернет-магазинах.
daggert
Ну как минимум для атак основанных на социнженерии. Одно дело когда пишут «уважаемый хз кто вас ждут столимонов» и совсем другое «уважаемая Ирвин Китишь, ваш заказ с гирбеста был бракованным, по этому мы решили выслать вам новый комбайн/телевизор/звезду смерти. К сожалению вы должны опять оплатить доставку по такому-то адресу ...»
Daddy_Cool
Н-да. У самого две покупки в ГБ — вот думаю — написали бы мне — типа этого товара нет, но есть гораздо лучше, но дороже на 10$. Вот вам спецсайт наших партнеров для доплаты. Я бы призадумался. Да. Сейчас напридумаем тут.
edogs
На скрине совсем не звезды смерти заказывали, при чем в обоих заказах, и в греческом и в бразильском. В некоторых случаях ряд товар (допустим скрытые камеры если речь про россию) могут быть поводов для попыток выманить деньги — «мы знаем что Вы заказывали прошлым летом, пришлите денег что бы мы остались единственными кто это знает»©
symbix
AstorS1
Ну, и с другой стороны, что может сделать GB или другая компания, у которой были «утеряны» данные для минимизации потенциальных сложностей у субъектов этих данных? Принудительно заменить пароль или что можно предпринять, если действие УЖЕ произошло.
Санкции со стороны государства могут стимулировать обращение внимание на важность вопросов защиты в будущем, а не в прошлом.
symbix
Ну, например, опубликовать подробный разбор полетов: почему это произошло, какие действия предприняты, чтобы не допустить повторения ситуации. Со всеми техническими подробностями. Еще можно заказать сторонний аудит и опубликовать отчет о внедрении рекомендаций.
pda11111
По поводу пункта 2: приглядитесь внимательнее к КДПВ и насладитесь забавным)
Daddy_Cool
ОМГ! А думал, что бывают скриншоты… которые просто скриншоты. Как много я не знал о Gearbest!
ingumsky
Выбранный в качестве КДПВ скриншот в оригинальной статье служит для иллюстрации того, насколько чувствительна информация, и того, что для граждан некоторых странах публикация таких данных может представлять угрозу реального уголовного преследования (там есть ещё скриншот покупки дилдо пользователем из Пакистана).
tvr
А теперь попросим на трибуну начальника транспортного цеха. Пусть доложит об изыскании внутренних резервов. Доложьте нам!
gearbest — трибуна ваша, общественность замерла в ожидании.
gearbest
Добрый день, официальный ответ по ситуации можно посмотреть вот тут: gearbestblog.ru/ofitsialnoe-zayavlenie-gearbest-ob-utechke-polzovatelskih-dannyh
lotse8
«А в остальном, прекрасная маркиза, все хорошо, все хорошо»
mapatka
Смешно —
DamnLoky
Запросил у них в поддержке полное удаление своего профиля.
Соврал, что на меня распространяется GDPR :)
Саппорт пописал вежливых фраз про то, что для них важна безопасность, и они понимают мою фрустрацию, но обещали удалить все в течение 48 часов.
Понятно, что ничего это радикально не изменит, но, возможно, какой-то сигнал до топов или миддлов дойдет, если подобные вещи будут массовыми.
Что еще можно сделать в такой ситуации?