Китайский онлайн-ритейлер Gearbest оставил в открытом доступе базу данных с миллионами персональных данных покупателей +37


Комманда хакеров из VPNMentor обнаружила, что китайский гигант онлайн торговли Gearbest хранит данные покупателей в легкодоступных базах данных.



Ребята из VPNMentor обнаружили несколько незащищенных баз данных (Indices) Elasticsearch с миллионами записей, содержащих персональные данные покупателей, информацию о заказах и данные платежей.

Все это добро поддерживается и используется магазином Gearbest, чей сайт входит в Топ 250 крупнейших вебсайтов всего интернета. Gerbest торгует такими крупными брендами как Asus, Huawei, Intel и Lenovo, осуществляет доставку в более чем 250 стран мира и поддерживает локальные версии магазина на 18 языках.

Всего было найдено три свободно доступных базы данных, суммарно содержащих более 1.5 млн. записей:

  1. База заказов – содержит товары и адреса их доставки, электронная почта покупателей, их имена, и IP-адреса.
  2. База платежей – состоит из номеров заказов, типов платежей, платежной информации, имен покупателей и их IP-адресов.
  3. База покупателей – содержит имена покупателей, их даты рождения, адреса, телефонные номера, емейлы, IP-адреса, паспорта и даже пароли доступа к заказам.

Самое главное, что эта база данных обновляется, т.е. в нее записываются новые строки с данными новых заказов.




К сожалению, не доступен сервер mySQL