Форум
Читайте нас также:

об электронной торговле - для интернет-магазинов и ритейла. портал и сообщество

Форум
Скандал: китайский ритейлер Gearbest держит данные покупателей в открытом доступе

Скандал: китайский ритейлер Gearbest держит данные покупателей в открытом доступе

1

Группа исследователей vpnMentor под руководством "этичного хакера" Ноама Ротема опубликовала отчет об уязвимости базы данных китайского онлайн-магазина Gearbest.  Они заявляют, что получили доступ к аккаунтам, истории заказов, платежной информации, паспортным данным и банковским картам покупателей. По данным хакеров 1,5 млн записей в различных частях баз магазина лежат в открытом виде.

Gearbest заявляет, что компания собирает пользовательские данные для улучшения качества, но шифрует важные данные и использует внешнее ПО для их верификации. На самом деле, большая часть конфиденциальной информации никак не зашифрована

личдан

Исследоватеди vpnMentor утверждают, что злоумышленники легко могут украсть такие данные как: ФИО и дату рождения; адреса электронной почты и пароли от аккаунтов в открытом виде; полный почтовый и IP-адреса покупателя; номер и серию паспорта покупателя а также платежные данные.

Чтобы доказать это хакеры зашли в две учетные записи покупателей, узнать историю заказов, сменили пароль, получили доступ к личной информации и накопленным баллам.  Исследователи считают, что паспортных и других данных из базы Gearbest может хватить, чтобы получить доступ к банковским приложениям, медицинской информации и сайтам типа «Госуслуг».

В базе данных, хранящей информацию о счетах и платежах, специалисты vpnMentor нашли прямые URL-ссылки для доступа к виртуальным картам бразильской платежной системы Oxxo и методу оплаты Boleto, которая регулируется Федерацией банков Бразилии.

Открытая информация не только нарушает конфиденциальность клиентов, но и может подвергать их опасности в тех странах, где ограничена свобода выражения, так как магазин продает интимные товары. Например, если в стране запрещены однополые отношения, доступ к подобной информации может привести покупателя в тюрьму.

Чтобы получить доступ, команда исследователей проверяла блоки IP-адресов, сканировала их на уязвимости, а также проверяла владельцев баз данных. Они были удивлены, когда  обнаружили, что один из серверов баз данных Elasticsearch, которые использует корпорация Globalegrow, не был защищен паролем, и смогли получить доступ к нему через браузер.

Выяснилось, что все базы данных Globalegrow не были защищены и практически не шифровались. Как долго сервер находился в открытом доступе  неизвестно. Хакеры не только нашли пользовательские данные в открытом виде, но и получили доступ к Kafka – внутренней системе управления данными Globalegrow.

Исследователи несколько раз пытались связаться с представителями Gearbest и Globalegrow, чтобы рассказать о нарушениях, но не получили ответа.



Прокомментировать


1
:D
:)
:(
:o
:shock:
:?
8)
:lol:
:x
:P
:oops:
:cry:
:evil:
:twisted:
:roll:
:wink:
:!:
:?:
:idea:
:arrow:
:|
:mrgreen:
.

Комментарии
Ссылка на сообщение Николай Н.
content-manager
Торговля (Онлайн-гипермаркет, крупная компания)



Официальный ответ:
http://gearbestblog.ru/ofitsialnoe-zaya ... ih-dannyh/



Читайте также
приложения
Мобильные приложения каких fashion-ритейлеров наиболее уязвимы для хакеров?

Мобильные приложения каких fashion-ритейлеров наиболее уязвимы для хакеров?
44444444444444
"Азбука Вкуса" начала продавать электронные подарочные карты

Они "мультиканальные" - ими можно заплатить и на сайте, и в офлайновом магазине








2001 - 2019 © Оборот.ру. Все права защищены