Китайский онлайн-ритейлер Gearbest оставил в открытом доступе базу данных с миллионами персональных данных покупателей

Комманда хакеров из VPNMentor обнаружила, что китайский гигант онлайн торговли Gearbest хранит данные покупателей в легкодоступных базах данных.



Ребята из VPNMentor обнаружили несколько незащищенных баз данных (Indices) Elasticsearch с миллионами записей, содержащих персональные данные покупателей, информацию о заказах и данные платежей.

Все это добро поддерживается и используется магазином Gearbest, чей сайт входит в Топ 250 крупнейших вебсайтов всего интернета. Gerbest торгует такими крупными брендами как Asus, Huawei, Intel и Lenovo, осуществляет доставку в более чем 250 стран мира и поддерживает локальные версии магазина на 18 языках.

Всего было найдено три свободно доступных базы данных, суммарно содержащих более 1.5 млн. записей:

  1. База заказов – содержит товары и адреса их доставки, электронная почта покупателей, их имена, и IP-адреса.
  2. База платежей – состоит из номеров заказов, типов платежей, платежной информации, имен покупателей и их IP-адресов.
  3. База покупателей – содержит имена покупателей, их даты рождения, адреса, телефонные номера, емейлы, IP-адреса, паспорта и даже пароли доступа к заказам.

Самое главное, что эта база данных обновляется, т.е. в нее записываются новые строки с данными новых заказов.
Поделиться публикацией

Комментарии 15

    +8
    1. Это очередной раз подтверждает недавно высказанный здесь тезис, что персональные данные пользователей бизнес не волнуют, что в общем логично. Ну хакнули и хакнули — извинятся и всё.
    2. Gearbest торгует вполне обычным товаром. Вот если бы хакнули что-то в духе Pulse & Cocktails store — было бы забавно.
    3. Интересно как можно использовать полученные данные — номеров карт я так понимаю нет, хотя если есть пароли к заказам — то там возможно сохранены данные карты, но вряд ли их можно вытащить. Хотя как добавочная информация при поиске инфы о человеке — может помочь каждая мелочь.
    4. Возмущаемся, вздыхаем… и продолжаем покупать в интернет-магазинах.
      +8
      Ну как минимум для атак основанных на социнженерии. Одно дело когда пишут «уважаемый хз кто вас ждут столимонов» и совсем другое «уважаемая Ирвин Китишь, ваш заказ с гирбеста был бракованным, по этому мы решили выслать вам новый комбайн/телевизор/звезду смерти. К сожалению вы должны опять оплатить доставку по такому-то адресу ...»
        0
        Н-да. У самого две покупки в ГБ — вот думаю — написали бы мне — типа этого товара нет, но есть гораздо лучше, но дороже на 10$. Вот вам спецсайт наших партнеров для доплаты. Я бы призадумался. Да. Сейчас напридумаем тут.
          0
          На скрине совсем не звезды смерти заказывали, при чем в обоих заказах, и в греческом и в бразильском. В некоторых случаях ряд товар (допустим скрытые камеры если речь про россию) могут быть поводов для попыток выманить деньги — «мы знаем что Вы заказывали прошлым летом, пришлите денег что бы мы остались единственными кто это знает»©
          +4
          хакнули и хакнули — извинятся и всё.

          We're sorry!
            0
            Ну, и с другой стороны, что может сделать GB или другая компания, у которой были «утеряны» данные для минимизации потенциальных сложностей у субъектов этих данных? Принудительно заменить пароль или что можно предпринять, если действие УЖЕ произошло.

            Санкции со стороны государства могут стимулировать обращение внимание на важность вопросов защиты в будущем, а не в прошлом.
              0

              Ну, например, опубликовать подробный разбор полетов: почему это произошло, какие действия предприняты, чтобы не допустить повторения ситуации. Со всеми техническими подробностями. Еще можно заказать сторонний аудит и опубликовать отчет о внедрении рекомендаций.

            +3
            По поводу пункта 2: приглядитесь внимательнее к КДПВ и насладитесь забавным)
              –1
              ОМГ! А думал, что бывают скриншоты… которые просто скриншоты. Как много я не знал о Gearbest!
            +3
            Выбранный в качестве КДПВ скриншот в оригинальной статье служит для иллюстрации того, насколько чувствительна информация, и того, что для граждан некоторых странах публикация таких данных может представлять угрозу реального уголовного преследования (там есть ещё скриншот покупки дилдо пользователем из Пакистана).
              +8
              А теперь попросим на трибуну начальника транспортного цеха. Пусть доложит об изыскании внутренних резервов. Доложьте нам!
              gearbest — трибуна ваша, общественность замерла в ожидании.
                0
                Добрый день, официальный ответ по ситуации можно посмотреть вот тут: gearbestblog.ru/ofitsialnoe-zayavlenie-gearbest-ob-utechke-polzovatelskih-dannyh
                  0
                  «А в остальном, прекрасная маркиза, все хорошо, все хорошо»
                    +2
                    Смешно —
                    P.S. В качестве компенсационной меры, для повышения лояльности пользователей, Gearbest дополнительно снижает цены на проходящей распродаже в честь 5-летия интернет-магазина.
                  +1
                  Запросил у них в поддержке полное удаление своего профиля.
                  Соврал, что на меня распространяется GDPR :)
                  Саппорт пописал вежливых фраз про то, что для них важна безопасность, и они понимают мою фрустрацию, но обещали удалить все в течение 48 часов.
                  Понятно, что ничего это радикально не изменит, но, возможно, какой-то сигнал до топов или миддлов дойдет, если подобные вещи будут массовыми.
                  Что еще можно сделать в такой ситуации?

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое