Китайский онлайн-ритейлер Gearbest оставил в открытом доступе базу данных с миллионами персональных данных покупателей +37



Комманда хакеров из VPNMentor обнаружила, что китайский гигант онлайн торговли Gearbest хранит данные покупателей в легкодоступных базах данных.



Ребята из VPNMentor обнаружили несколько незащищенных баз данных (Indices) Elasticsearch с миллионами записей, содержащих персональные данные покупателей, информацию о заказах и данные платежей.

Все это добро поддерживается и используется магазином Gearbest, чей сайт входит в Топ 250 крупнейших вебсайтов всего интернета. Gerbest торгует такими крупными брендами как Asus, Huawei, Intel и Lenovo, осуществляет доставку в более чем 250 стран мира и поддерживает локальные версии магазина на 18 языках.

Всего было найдено три свободно доступных базы данных, суммарно содержащих более 1.5 млн. записей:

  1. База заказов – содержит товары и адреса их доставки, электронная почта покупателей, их имена, и IP-адреса.
  2. База платежей – состоит из номеров заказов, типов платежей, платежной информации, имен покупателей и их IP-адресов.
  3. База покупателей – содержит имена покупателей, их даты рождения, адреса, телефонные номера, емейлы, IP-адреса, паспорта и даже пароли доступа к заказам.

Самое главное, что эта база данных обновляется, т.е. в нее записываются новые строки с данными новых заказов.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (15):

  1. Daddy_Cool
    /#19896174 / +2

    1. Это очередной раз подтверждает недавно высказанный здесь тезис, что персональные данные пользователей бизнес не волнуют, что в общем логично. Ну хакнули и хакнули — извинятся и всё.
    2. Gearbest торгует вполне обычным товаром. Вот если бы хакнули что-то в духе Pulse & Cocktails store — было бы забавно.
    3. Интересно как можно использовать полученные данные — номеров карт я так понимаю нет, хотя если есть пароли к заказам — то там возможно сохранены данные карты, но вряд ли их можно вытащить. Хотя как добавочная информация при поиске инфы о человеке — может помочь каждая мелочь.
    4. Возмущаемся, вздыхаем… и продолжаем покупать в интернет-магазинах.

    • daggert
      /#19896222 / +2

      Ну как минимум для атак основанных на социнженерии. Одно дело когда пишут «уважаемый хз кто вас ждут столимонов» и совсем другое «уважаемая Ирвин Китишь, ваш заказ с гирбеста был бракованным, по этому мы решили выслать вам новый комбайн/телевизор/звезду смерти. К сожалению вы должны опять оплатить доставку по такому-то адресу ...»

      • Daddy_Cool
        /#19896236

        Н-да. У самого две покупки в ГБ — вот думаю — написали бы мне — типа этого товара нет, но есть гораздо лучше, но дороже на 10$. Вот вам спецсайт наших партнеров для доплаты. Я бы призадумался. Да. Сейчас напридумаем тут.

      • edogs
        /#19896252 / +1

        На скрине совсем не звезды смерти заказывали, при чем в обоих заказах, и в греческом и в бразильском. В некоторых случаях ряд товар (допустим скрытые камеры если речь про россию) могут быть поводов для попыток выманить деньги — «мы знаем что Вы заказывали прошлым летом, пришлите денег что бы мы остались единственными кто это знает»©

    • symbix
      /#19896432 / +2

      хакнули и хакнули — извинятся и всё.

      We're sorry!

      • AstorS1
        /#19897378

        Ну, и с другой стороны, что может сделать GB или другая компания, у которой были «утеряны» данные для минимизации потенциальных сложностей у субъектов этих данных? Принудительно заменить пароль или что можно предпринять, если действие УЖЕ произошло.

        Санкции со стороны государства могут стимулировать обращение внимание на важность вопросов защиты в будущем, а не в прошлом.

        • symbix
          /#19899628

          Ну, например, опубликовать подробный разбор полетов: почему это произошло, какие действия предприняты, чтобы не допустить повторения ситуации. Со всеми техническими подробностями. Еще можно заказать сторонний аудит и опубликовать отчет о внедрении рекомендаций.

    • pda11111
      /#19896670

      По поводу пункта 2: приглядитесь внимательнее к КДПВ и насладитесь забавным)

      • Daddy_Cool
        /#19896686

        ОМГ! А думал, что бывают скриншоты… которые просто скриншоты. Как много я не знал о Gearbest!

  2. ingumsky
    /#19896604 / +1

    Выбранный в качестве КДПВ скриншот в оригинальной статье служит для иллюстрации того, насколько чувствительна информация, и того, что для граждан некоторых странах публикация таких данных может представлять угрозу реального уголовного преследования (там есть ещё скриншот покупки дилдо пользователем из Пакистана).

  3. tvr
    /#19898226 / +1

    А теперь попросим на трибуну начальника транспортного цеха. Пусть доложит об изыскании внутренних резервов. Доложьте нам!
    gearbest — трибуна ваша, общественность замерла в ожидании.

    • gearbest
      /#19901006

      Добрый день, официальный ответ по ситуации можно посмотреть вот тут: gearbestblog.ru/ofitsialnoe-zayavlenie-gearbest-ob-utechke-polzovatelskih-dannyh

      • lotse8
        /#19902958

        «А в остальном, прекрасная маркиза, все хорошо, все хорошо»

      • mapatka
        /#19903086

        Смешно —

        P.S. В качестве компенсационной меры, для повышения лояльности пользователей, Gearbest дополнительно снижает цены на проходящей распродаже в честь 5-летия интернет-магазина.

  4. DamnLoky
    /#19899324 / +1

    Запросил у них в поддержке полное удаление своего профиля.
    Соврал, что на меня распространяется GDPR :)
    Саппорт пописал вежливых фраз про то, что для них важна безопасность, и они понимают мою фрустрацию, но обещали удалить все в течение 48 часов.
    Понятно, что ничего это радикально не изменит, но, возможно, какой-то сигнал до топов или миддлов дойдет, если подобные вещи будут массовыми.
    Что еще можно сделать в такой ситуации?