Скандал: китайский ритейлер Gearbest держит данные покупателей в открытом доступе
1Группа исследователей vpnMentor под руководством "этичного хакера" Ноама Ротема опубликовала отчет об уязвимости базы данных китайского онлайн-магазина Gearbest. Они заявляют, что получили доступ к аккаунтам, истории заказов, платежной информации, паспортным данным и банковским картам покупателей. По данным хакеров 1,5 млн записей в различных частях баз магазина лежат в открытом виде.
Gearbest заявляет, что компания собирает пользовательские данные для улучшения качества, но шифрует важные данные и использует внешнее ПО для их верификации. На самом деле, большая часть конфиденциальной информации никак не зашифрована
Исследоватеди vpnMentor утверждают, что злоумышленники легко могут украсть такие данные как: ФИО и дату рождения; адреса электронной почты и пароли от аккаунтов в открытом виде; полный почтовый и IP-адреса покупателя; номер и серию паспорта покупателя а также платежные данные.
Чтобы доказать это хакеры зашли в две учетные записи покупателей, узнать историю заказов, сменили пароль, получили доступ к личной информации и накопленным баллам. Исследователи считают, что паспортных и других данных из базы Gearbest может хватить, чтобы получить доступ к банковским приложениям, медицинской информации и сайтам типа "Госуслуг".
В базе данных, хранящей информацию о счетах и платежах, специалисты vpnMentor нашли прямые URL-ссылки для доступа к виртуальным картам бразильской платежной системы Oxxo и методу оплаты Boleto, которая регулируется Федерацией банков Бразилии.
Открытая информация не только нарушает конфиденциальность клиентов, но и может подвергать их опасности в тех странах, где ограничена свобода выражения, так как магазин продает интимные товары. Например, если в стране запрещены однополые отношения, доступ к подобной информации может привести покупателя в тюрьму.
Чтобы получить доступ, команда исследователей проверяла блоки IP-адресов, сканировала их на уязвимости, а также проверяла владельцев баз данных. Они были удивлены, когда обнаружили, что один из серверов баз данных Elasticsearch, которые использует корпорация Globalegrow, не был защищен паролем, и смогли получить доступ к нему через браузер.
Выяснилось, что все базы данных Globalegrow не были защищены и практически не шифровались. Как долго сервер находился в открытом доступе неизвестно. Хакеры не только нашли пользовательские данные в открытом виде, но и получили доступ к Kafka – внутренней системе управления данными Globalegrow.
Исследователи несколько раз пытались связаться с представителями Gearbest и Globalegrow, чтобы рассказать о нарушениях, но не получили ответа.
 |
Николай Н.
content-manager, Торговля (Онлайн-гипермаркет, крупная компания) |
http://gearbestblog.ru/ofitsialnoe-zaya ... ih-dannyh/
