Хакеры обнаружили незащищенные базы данных интернет-магазина GearBest
15.03.19
Группа исследователей vpnMentor под руководством этичного хакера Ноама Ротема опубликовала отчет об уязвимостях базы данных онлайн-магазина Gearbest. Пока публикаций об этом не много (опубликовано всего 3 на момент подготовки новости) и официальной позиции от китайской компании нигде не озвучено.
Поэтому прежде всего рекомендуем нашим читателям проверить свои учетные записи на онлайн-площадке и при возможности удалить персональные данные. Хотя, к сожалению, специалисты не знают сколько база данных оставалось открытой и успели мошенники ли скопировать данные.
Мы допускаем, что тема могла быть поднята не без помощи конкурентов магазина. Но, как говорится, предупрежден, значит вооружен. Мы публикуем эту информацию исключительно в информационных и ознакомительных целях.
Утверждается, что хакерам vpnMentor удалось получить доступ к 1,5 млн записей в различных частях баз данных Gearbest — аккаунтов, заказов, платежей и счетов, данные которых лежат в открытом виде. Для проверки vpnMentor удалось зайти в две учетные записи покупателей, узнать историю заказов, сменить пароль, получить доступ к личной информации и накопленным баллам.
В базе пользователей магазина исследователи нашли различную информацию покупателей: ФИО и дата рождения, адреса электронной почты и пароли от аккаунтов, почтовый адрес и IP-адреса посещений, номер и серия паспорта, платежные данные. Надо понимать, что паспортных и других данных из базы Gearbest может хватить, чтобы получить доступ к банковским приложениям и другим сервисам.
Например, в базе данных специалисты нашли прямые URL-ссылки для доступа к виртуальным картам бразильской платежной системы Oxxo и методу оплаты Boleto, которая регулируется Федерацией банков Бразилии. Кроме того обнаружены выписки по счетам пользователей, которые содержат все их банковские данные и характеристики товара (цвет, размер, бренд) и стоимость товара.
Открытая информация не только нарушает конфиденциальность клиентов, но и потенциально может подвергать их опасности. Магазин продает интимные товары, а доступ к личной информации покупателя может привести к юридическим последствиям, если в стране запрещены ЛГБТ- или добрачные отношения.
Как так получилось?
Команда исследователей занималась web-сканированием: проверяла блоки IP-адресов, сканировала их на уязвимости, а также проверяла владельцев баз данных. Они обнаружили, что один из серверов баз данных Elasticsearch, которые использует корпорация Globalegrow (материнская компания GearBest), не был защищен паролем, и смогли получить доступ к нему через браузер.
Выяснилось, что все базы данных Globalegrow не были защищены и практически не шифровались. Как долго сервер находился в открытом доступе — неизвестно. По информации TechCrunch, базу данных впервые обнаружили 7 марта 2019 года.
Специалисты vpnMentor не только нашли пользовательские данные в открытом виде, но и получили доступ к Kafka — внутренней системе управления данными Globalegrow.
Gearbest входит в число топ-250 мировых веб-сайтов и продает товары не только китайских производителей, но и многих международных брендов. Магазин принадлежит китайской корпорации Globalegrow, которая также управляет Zaful, Rosegal и DressLily. В 2015 году их продажи составили $550 млн; в 2017 году оборот Globalegrow достиг $1,48 млрд.
Интернет-магазин базируется в Китае, но представлен в Европе, имеет склады в Испании, Польше, Чехии и Великобритании, где действуют законы Евросоюза о защите персональных данных и конфиденциальности (GDPR). Любая компания, нарушившая GDPR, может быть оштрафована на сумму до 4% от её глобального дохода, пишет TechCrunch.
вологість:
тиск:
вітер:
Наушники Sony WH-1000XM5: звук вне времени
Полноразмерные наушники Sony WH-1000XM5 уже достаточно долго присутствуют на рынке, но шума, простите, наделали не так много. Разберемся почему, ведь еще несколько лет назад серия Sony WH-1000XM была одной из самых популярных.
Apple покажет новые iPad Air и iPad Pro на презентации 7 мая
Apple iPad планшет события в миреПрезентация Apple iPad Pro пройдет 7 мая 2024. Смотреть мероприятие можно будет онлайн на YouTube-канале Apple. Прямая трансляция стартует в 17:00 (EET).
TWS-наушники Marshall Minor IV с защитой IPX4 и автономностью более 30 часов стоят $129
Bluetooth наушникиMarshall Minor IV обладают защитой от воды и пота IPX4, LED-индикатором зарядки и драйверами на 12 мм. Управление осуществляется через фирменное приложение на смартфоне.