Китайский онлайн-ритейлер Gearbest оставил в открытом доступе базу данных с миллионами персональных данных покупателей

[Daddy_Cool]

1. Это очередной раз подтверждает недавно высказанный здесь тезис, что персональные данные пользователей бизнес не волнуют, что в общем логично. Ну хакнули и хакнули — извинятся и всё.
2. Gearbest торгует вполне обычным товаром. Вот если бы хакнули что-то в духе Pulse & Cocktails store — было бы забавно.
3. Интересно как можно использовать полученные данные — номеров карт я так понимаю нет, хотя если есть пароли к заказам — то там возможно сохранены данные карты, но вряд ли их можно вытащить. Хотя как добавочная информация при поиске инфы о человеке — может помочь каждая мелочь.
4. Возмущаемся, вздыхаем… и продолжаем покупать в интернет-магазинах.

[daggert]

Ну как минимум для атак основанных на социнженерии. Одно дело когда пишут «уважаемый хз кто вас ждут столимонов» и совсем другое «уважаемая Ирвин Китишь, ваш заказ с гирбеста был бракованным, по этому мы решили выслать вам новый комбайн/телевизор/звезду смерти. К сожалению вы должны опять оплатить доставку по такому-то адресу ...»

[Daddy_Cool]

Н-да. У самого две покупки в ГБ — вот думаю — написали бы мне — типа этого товара нет, но есть гораздо лучше, но дороже на 10$. Вот вам спецсайт наших партнеров для доплаты. Я бы призадумался. Да. Сейчас напридумаем тут.

[edogs]

На скрине совсем не звезды смерти заказывали, при чем в обоих заказах, и в греческом и в бразильском. В некоторых случаях ряд товар (допустим скрытые камеры если речь про россию) могут быть поводов для попыток выманить деньги — «мы знаем что Вы заказывали прошлым летом, пришлите денег что бы мы остались единственными кто это знает»©

[symbix]

хакнули и хакнули — извинятся и всё.

We're sorry!

[AstorS1]

Ну, и с другой стороны, что может сделать GB или другая компания, у которой были «утеряны» данные для минимизации потенциальных сложностей у субъектов этих данных? Принудительно заменить пароль или что можно предпринять, если действие УЖЕ произошло.

Санкции со стороны государства могут стимулировать обращение внимание на важность вопросов защиты в будущем, а не в прошлом.

[symbix]

Ну, например, опубликовать подробный разбор полетов: почему это произошло, какие действия предприняты, чтобы не допустить повторения ситуации. Со всеми техническими подробностями. Еще можно заказать сторонний аудит и опубликовать отчет о внедрении рекомендаций.

[psydvl]

По поводу пункта 2: приглядитесь внимательнее к КДПВ и насладитесь забавным)

[Daddy_Cool]

ОМГ! А думал, что бывают скриншоты… которые просто скриншоты. Как много я не знал о Gearbest!

[ingumsky]

Выбранный в качестве КДПВ скриншот в оригинальной статье служит для иллюстрации того, насколько чувствительна информация, и того, что для граждан некоторых странах публикация таких данных может представлять угрозу реального уголовного преследования (там есть ещё скриншот покупки дилдо пользователем из Пакистана).

[gearbest]

Добрый день, официальный ответ по ситуации можно посмотреть вот тут: gearbestblog.ru/ofitsialnoe-zayavlenie-gearbest-ob-utechke-polzovatelskih-dannyh

[lotse8]

«А в остальном, прекрасная маркиза, все хорошо, все хорошо»

[mapatka]

Смешно —

P.S. В качестве компенсационной меры, для повышения лояльности пользователей, Gearbest дополнительно снижает цены на проходящей распродаже в честь 5-летия интернет-магазина.

[DamnLoky]

Запросил у них в поддержке полное удаление своего профиля.
Соврал, что на меня распространяется GDPR :)
Саппорт пописал вежливых фраз про то, что для них важна безопасность, и они понимают мою фрустрацию, но обещали удалить все в течение 48 часов.
Понятно, что ничего это радикально не изменит, но, возможно, какой-то сигнал до топов или миддлов дойдет, если подобные вещи будут массовыми.
Что еще можно сделать в такой ситуации?