Hi-Tech

Хакеры нашли уязвимость на серверах Gearbest: все данные клиентов онлайн-магазина хранятся в открытом виде

Хакеры нашли уязвимость на серверах Gearbest: все данные клиентов онлайн-магазина хранятся в открытом виде — Торговля на vc.ru

Свежее

Вакансии

Написать

Уведомлений пока нет

Пишите хорошие статьи, комментируйте,
и здесь станет не так пусто

Войти

Исследователи получили доступ к аккаунтам, истории заказов, платежной информации, паспортным данным и банковским картам покупателей.

В закладки

В марте 2019 года хакерам удалось получить доступ к 1,5 млн записей в различных частях баз Gearbest — аккаунтов, заказов, платежей и счетов, данные которых лежат в открытом виде. Группа исследователей vpnMentor под руководством этичного хакера Ноама Ротема опубликовала отчет об уязвимости базы данных китайского онлайн-магазина Gearbest.

Магазин принадлежит китайской корпорации Globalegrow, которая также управляет Zaful, Rosegal и DressLily. Gearbest входит в число 250 ведущих мировых веб-сайтов и продает товары не только китайских производителей, но и таких брендов, как Asus, Huawei, Intel и Lenovo. В 2015 году их продажи составили $550 млн; в 2017 году оборот Globalegrow достиг $1,48 млрд.

Что удалось найти vpnMentor

В базе пользователей исследователи нашли личную информацию покупателей, которую могут украсть злоумышленники:

  • ФИО и дату рождения;
  • Адреса электронной почты и пароли от аккаунтов в открытом виде;
  • Полный почтовый и IP-адреса покупателя;
  • Номер и серию паспорта покупателя;
  • Платежные данные.

Для проверки vpnMentor удалось зайти в две учетные записи покупателей, узнать историю заказов, сменить пароль, получить доступ к личной информации и накопленным баллам.

Электронная почта и пароли в базе данных vpnMentor

Паспортных и других данных из базы Gearbest может хватить, чтобы получить доступ к банковским приложениям, медицинской информации и сайтам типа «Госуслуг», считают исследователи.

Образец записи из базы данных с полной информацией о клиенте vpnMentor

В базе данных, хранящей информацию о счетах и платежах, специалисты vpnMentor нашли прямые URL-ссылки для доступа к виртуальным картам бразильской платежной системы Oxxo и методу оплаты Boleto, которая регулируется Федерацией банков Бразилии.

Образец виртуальной карты Boleta vpnMentor

Также исследователи смогли найти выписки по счетам пользователей, которые содержат все их банковские данные.

В базе данных заказов хранится точное содержание заказа:

  • ФИО покупателя и адрес заказа;
  • Характеристики товара: цвет, размер, бренд;
  • Стоимость товара.

Магазин продает интимные товары, а доступ к личной информации покупателя может привести к юридическим последствиям, если в стране запрещены ЛГБТ- или добрачные отношения. Открытая информация не только нарушает конфиденциальность клиентов, но и может подвергать их опасности в тех странах, где ограничена свобода выражения, считают TechCrunch и vpnMentor.

Пакистанец купил интим-товары. Утечка может раскрыть, не нарушает ли он закон. vpnMentor

Как получили доступ

Они обнаружили, что один из серверов баз данных Elasticsearch, которые использует корпорация Globalegrow, не был защищен паролем, и смогли получить доступ к нему через браузер. Команда исследователей во главе с хакером занималась web-сканированием: проверяла блоки IP-адресов, сканировала их на уязвимости, а также проверяла владельцев баз данных.

Как долго сервер находился в открытом доступе — неизвестно. Выяснилось, что все базы данных Globalegrow не были защищены и практически не шифровались. По информации TechCrunch, базу данных впервые обнаружили 7 марта 2019 года.

Уязвимость на уровне серверов

Специалисты vpnMentor не только нашли пользовательские данные в открытом виде, но и получили доступ к Kafka — внутренней системе управления данными Globalegrow.

vpnMentor

Это может привести к невозможности обработать заказы и серьезным перебоям в работе складов и магазинов. С помощью Kafka хакеры могут полностью манипулировать базами данных корпорации, менять их свойства и полностью отключать сервера.

vpnMentor

Политика конфиденциальности и реакция Gearbest

На самом деле, большая часть конфиденциальной информации никак не зашифрована, считают специалисты vpnMentor. Gearbest заявляет, что компания собирает пользовательские данные для улучшения качества, но шифрует важные данные и использует внешнее ПО для их верификации.

vpnMentor

Кроме этого, в базах хранится множество данных, упрощающих идентификацию пользователей, но при этом не требующихся интернет-магазину, например, IP-адреса, говорится в исследовании.

Также корпорация не отреагировала на уведомление о публикации исследования и запросы издания TechCrunch. Исследователи несколько раз пытались связаться с представителями Gearbest и Globalegrow, чтобы рассказать о нарушениях, но не получили ответа.

Чем это может грозить Gearbest и Globalegrow

Любая компания, нарушившая GDPR, может быть оштрафована на сумму до 4% от её глобального дохода, пишет TechCrunch. Интернет-магазин базируется в Китае, но представлен в Европе, имеет склады в Испании, Польше, Чехии и Великобритании, где действуют законы Евросоюза о защите персональных данных и конфиденциальности (GDPR).

#новость #Gearbest #Globalegrow #утечкиданных

Блоги компаний

Показать еще

Push-уведомления

{ "page_type": "article" }

["\u041d\u0435\u0439\u0440\u043e\u043d\u043d\u0430\u044f \u0441\u0435\u0442\u044c \u043d\u0430\u0443\u0447\u0438\u043b\u0430\u0441\u044c \u0447\u0438\u0442\u0430\u0442\u044c \u0441\u0442\u0438\u0445\u0438
\u0433\u043e\u043b\u043e\u0441\u043e\u043c \u041f\u0430\u0441\u0442\u0435\u0440\u043d\u0430\u043a\u0430 \u0438 \u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u0432 \u043e\u043a\u043d\u043e \u043d\u0430 \u043e\u0441\u0435\u043d\u044c","\u0413\u043e\u043b\u043e\u0441\u043e\u0432\u043e\u0439 \u043f\u043e\u043c\u043e\u0449\u043d\u0438\u043a \u0432\u044b\u043a\u0443\u043f\u0438\u043b
\u043a\u043e\u043c\u043f\u0430\u043d\u0438\u044e-\u0441\u043e\u0437\u0434\u0430\u0442\u0435\u043b\u044f","\u041f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435-\u043f\u043b\u0430\u0446\u0435\u0431\u043e \u0441\u043a\u0430\u0447\u0430\u043b\u0438
\u0431\u043e\u043b\u044c\u0448\u0435 \u043c\u0438\u043b\u043b\u0438\u043e\u043d\u0430 \u0440\u0430\u0437","\u0425\u0430\u043a\u0435\u0440\u044b \u0441\u043c\u043e\u0433\u043b\u0438 \u043e\u0431\u043e\u0439\u0442\u0438 \u0434\u0432\u0443\u0445\u0444\u0430\u043a\u0442\u043e\u0440\u043d\u0443\u044e
\u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u044e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0443\u0433\u043e\u0432\u043e\u0440\u043e\u0432","\u041a\u043e\u043c\u043f\u0430\u043d\u0438\u044f \u043e\u0442\u043a\u0430\u0437\u0430\u043b\u0430\u0441\u044c \u043e\u0442 email
\u0432 \u043f\u043e\u043b\u044c\u0437\u0443 \u043e\u0431\u0449\u0435\u043d\u0438\u044f \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u043c\u0435\u043c\u043e\u0432","\u041a\u043e\u043c\u0430\u043d\u0434\u0430 \u043a\u0430\u043b\u0438\u0444\u043e\u0440\u043d\u0438\u0439\u0441\u043a\u043e\u0433\u043e \u043f\u0440\u043e\u0435\u043a\u0442\u0430
\u043e\u043a\u0430\u0437\u0430\u043b\u0430\u0441\u044c \u043d\u0435\u0439\u0440\u043e\u043d\u043d\u043e\u0439 \u0441\u0435\u0442\u044c\u044e"]

Нейронная сеть научилась читать стихи
голосом Пастернака и смотреть в окно на осень

Подписаться на push-уведомления

Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть