Скандал года: магазин Gearbest хранит данные покупателей в открытом виде

[Stylusss]

Исследовательская группа vpnMentor опубликовала отчёт, посвящённый китайскому интернет-магазину Gearbest. Путём несложных манипуляций авторы получили доступ к нескольким базам данных, которые хранятся в открытом виде. Среди них:

• информация о заказах (точное содержание заказа, адрес доставки, почтовые индексы, имена покупателей, e-mail, номера телефонов)
• информация о счетах и платежах (номера заказов, тип оплаты, платёжные данные, имена пользователей и их IP-адреса)
• личная информация (имя, фамилия, адрес, дата рождения, номер телефона, e-mail, IP-адрес, паспортные данные, пароль от учётной записи).

Магазин Gearbest принадлежит крупной международной корпорации Globalegrow. Выяснилось, что один из её серверов вообще не защищён паролем. Всего там обнаружено более 1,5 млн записей, извлечь которые способен любой приличный хакер. Среди прочего на сервере хранятся данные виртуальных платёжных карт Oxxo и Boleto, популярных в Мексике и Бразилии. Более того, авторам исследования удалось получить доступ к внутренней системе управления Gearbest и Globalegrow, которая называется Kafka. Что, в свою очередь, позволяет полностью парализовать работу складов и магазинов.

Представители vpnMentor несколько раз пытались связаться с сотрудниками компании, отвечающими за безопасность, и предупредить их. К сожалению, эти усилия оказались бесполезны. Никакой реакции не последовало. На момент написания новости (17 марта, 3:25 МСК) мне не удалось найти на сайте Gearbest упоминания об этой проблеме. В связи с чем я рекомендую всем зарегистрированным покупателям самим побеспокоиться о безопасности данных, удалить привязанные карты и другую важную для вас информацию.

Более подробный разбор ситуации доступен на сайтах vpnMentor и vc.ru.

PS. Автор новости надеется на добросовестность пользователей overclockers.ru и рассчитывает, что они не станут использовать полученные знания со злым умыслом. Единственной целью публикации является привлечение внимания к проблеме. Я хотел бы, чтобы общественный резонанс вынудил компанию Gearbest защитить личные данные клиентов и устранить уязвимость.

https://overclockers.ru/blog/Troglo...est-hranit-dannye-pokupatelej-v-otkrytom-vide

 

[stawrr]

Китайский онлайн-ритейлер Gearbest оставил в открытом доступе базу данных с миллионами персональных данных покупателей

Подробнее

 

[Lopics]

http://gearbestblog.ru/ofitsialnoe-zayavlenie-gearbest-ob-utechke-polzovatelskih-dannyh/

Эх, китайцы такие китайцы Даже в официальный ответ по серьезной проблеме отрекламировали свою распродажу...

А вообще, как по мне, это все очередной напоминание о том, что не нужно платить в подобных магазинах картой. Только РР. Ну и не делать единый пароль для всех магазинов и платежных систем. И все будет ништяк

 

[DDimann]

Хороший магазин...

...могла быть нарушена конфеденциальность данных новых аккаунтов (зарегистрированных клиентов) и данные о заказах постоянных клиентов в том случае, если в период с 1 марта 2019 года по 15 марта 2019 года была проведена регистрация аккаунта или покупка в интернет-магазине. В общей сложности, в незащищенном доступе оказались данные приблизительно 280 000 человек.

То бишь примерно 140к покупателей в неделю или 20к в день.
Но бардак - как в магазине с 10к покупателей за 10 лет...

 

[stawrr]

Даже в официальный ответ по серьезной проблеме отрекламировали свою распродажу...

и типа сделают компенсацию в в иде скидок на свои чмошные белые тапочки и голубые лампочки! Я им предлагаю эти скидки оставить себе или передать в виде гум. помощи соседней Северной Корее.

 

[BigDad]

а что вы хотели? когда много начальников? да даже если и один - то долго думает.. ка кто раз в BiCе мне удалось совершенно случайно скопировать базу покупок с адресами, телефонами и прочими прелестями (помните, что в заказе были фото посылок? - так вот они лежали открыто по папочками с датами... ) и что? два дня Джек врубиться не мог как так получилось и как это всё исправить . в конце-концов удалил все фото и движок по-тихому сменил
а тут - тут проблема не только в согласованиях, беда в менталитете.. не их данные палят - не их и проблема.

 

[Lopics]

в в иде скидок на свои чмошные белые тапочки и голубые лампочки!

Ну будем честны. В данном магазине было что купить... Но выборочно конечно и при определенных условиях... После того как появилась публикация, честно, желание покупать отпало даже не смотря на то, что лично я там ничего особо не светил кроме адреса доставки. Но это и не столь секретные данные...

 

[stawrr]

@Lopics, я кроме фонариков и акков ничего там не покупал. С акками у них сейчас пролет. А тапочки и пижамы проще на свалке купить)

 

[Lopics]

А тапочки и пижамы проще на свалке купить)

Да я и не спорю Самое дорогое что я там покупал - был робот пылесос Xiaomi. И там была реально самая "вкусная цена" на момент покупки. Но мелочи тоже было овердохера покупок, но это тоже были в основном "брендовые" девайсы.

 

[landre]

@Rimlyanin,
Ром. Но это же серьёзный залёт, что тут спорить.
Например мошенники поменяют в аккаунте адрес доставки 1000 человек, делающих много покупок и платящих с карты. Сколько это обнаружит ? 500 например. А остальные ?