2,

Данные миллионов пользователей Gearbest никак не защищены

Китайская торговая площадка хранит всю информацию в незашифрованном виде. Уязвимость обнаружили исследователи vpnMentor
Исследовательская группа vpnMentor обнаружила критическую уязвимость в безопасности баз данных интернет-магазина Gearbest. В рамках исследования с участием Ноама Ротема (Noam Rotem) и других этичных хакеров стало известно, что личные данные пользователей китайской торговой площадки, а также информация о заказах и платежах хранится в незашифрованном виде. Подробный отчёт о найденной уязвимости доступен на официальном сайте vpnMentor.
Команде vpnMentor удалось получить доступ к именам пользователей, адресам доставки, датам рождения, номерам телефона, адресам электронной почты, паспортным данным, паролям от учётных записей, истории заказов и их полному содержанию, типам оплаты и банковским картам. В марте 2019 года было найдено более полутора миллиона записей. Эксперты смогли завладеть в том числе внутренней системой управления, которая называется Kafka. Она позволяет управлять трафиком Gearbest и других дочерних компаний Globalegrow (включая Zaful, Rosegal и DressLily), поэтому в руках злоумышленников может привести даже к отключению серверов.
Данные миллионов пользователей Gearbest никак не защищены
Электронная почта и пароли в базе данных Gearbest
«В базах данных Gearbest содержится множество информации, позволяющей идентифицировать личность пользователей. Конечно, все зависит от страны и ситуации, однако в России такого набора данных хакерам хватит, чтобы получить доступ к сайтам типа Госуслуг, банковским приложениям, медицинской информации и не только. Это колоссальная угроза для онлайн-безопасности», — из комментария vpnMentor.
Данные миллионов пользователей Gearbest никак не защищены
Жители Бразилии и Греции покупают секс-игрушки

В vpnMentor сообщили, что у баз данных Gearbest и остальных сайтов, принадлежащих конгломерату, буквально отсутствует какая-либо защита. Исследователи несколько раз пытались связаться с представителями Gearbest и рассказать о нарушениях, но не получили ответа.

Gearbest входит в число 250 ведущих мировых веб-сайтов и доставляет товары по всему миру. В интернет-магазине представлена электроника и бытовая техника не только малоизвестных китайских производителей, но и таких крупных брендов, как Huawei, Lenovo, ASUS и Intel. Помимо этого, Gearbest продаёт одежду, аксессуары и товары для дома. В 2015 году их продажи составили 550 млн долларов. По состоянию на 2017 год оборот Globalegrow достиг 1,48 млрд долларов.
Последнее изменение:
 
artyoms
artyoms 14, 15 марта 2019 - 22:54   (...)
Спасибо, сменил пароль там. Площадка давно скатилась, а тут еще такое) Жаль аккаунт удалить нельзя)
в тексте очепятка — один из дочерних магазинов называется dresslily, а не dresslil
Ответить
IvS
IvS2, 15 марта 2019 - 23:39   (...)
Исправлено.
Ответить
centurion
centurion , 16 марта 2019 - 09:55   (...)
ты же читал внимательно?
смена пароля абсолютно ничего не меняет ))
Ответить
artyoms
artyoms 14, 16 марта 2019 - 11:07   (...)
Поменял на рандомный, дабы нпстоящий не попал в слитую базу
Ответить
wdpt
wdpt , 16 марта 2019 - 13:01   (...)
Дык слили не пароли, а имена/номера кредиток/места жительства/адреса электронной почты итд. Плюс баг ещё не пофиксили судя по статье, поэтому максимум что можно сделать это поменять данные на фейковые и молиться Кт'улху
Ответить
artyoms
artyoms 14, 16 марта 2019 - 13:24   (...)
Прочти статью ещё раз.
Ответить
wdpt
wdpt , 16 марта 2019 - 15:41   (...)
Цитата:«Команде vpnMentor удалось получить доступ к именам пользователей, адресам доставки, датам рождения, номерам телефона, адресам электронной почты, паспортным данным, паролям от учётных записей, истории заказов и их полному содержанию, типам оплаты и банковским картам.»
Теперь откровение — они не знают твоего пароля, он им тупо ненужен ибо уязвимость на уровне БД. Они тупо слили базу полностью, а там шифрования не завезли.
Ответить
artyoms
artyoms 14, 16 марта 2019 - 17:10   (...)
Спасибо, что открыл глаза. А я думал, что группа исследователей теперь будут с моих карточек заказывать
Ответить
TLH
TLH1/1, 16 марта 2019 - 14:09   (...)
Ты думаешь какой то хакер взломает Gearbest чтобы получить доступ к твоим 1$ товарам
Ответить
artyoms
artyoms 14, 16 марта 2019 - 17:09   (...)
Представляешь, люди не только 1$ товары в Интернете заказывают)
Ответить
TLH
TLH1/1, 16 марта 2019 - 19:33   (...)
люди может быть
Ответить
centurion
centurion , 16 марта 2019 - 22:09   (...)
ты думаешь хакеры взламывают базы данных, чтобы получить доступ к 1$ товарам?
Нет. Они взламывают базы данных для получения самой базы данных и доступа к счетам.
Но ограниченному и обозлёному созданию, типа тебя, это не понять.
Ответить
TLH
TLH1/1, 16 марта 2019 - 22:41   (...)
Зоофилам слова не давали по моему
Ответить
centurion
centurion , 16 марта 2019 - 23:57   (...)
вот и молчи ))
Ответить
id295862922
id295862922, 16 марта 2019 - 09:38   (...)
Уже отписались они в официальной группе на Фейсбуке www.facebook.com/gearbest/photos/a.640469842668321/2402847263097228/?type=3&theater
Ответить
NeJloh
NeJloh, 16 марта 2019 - 14:31   (...)
Вообще не пользуюсь интернет магазинами. Только одним DNS где не надо не каких данных оставлять.
Ответить
gearbestblogru
gearbestblogru, 17 марта 2019 - 01:50   (...)
Ответить
Bobs
Bobs, 18 марта 2019 - 14:54   (...)
Хранить пароль в незашифрованном виде, без хеширования с солью — преступление, никогда не буду ничего заказывать в этом обоссаном магазине
Ответить
justmax437
justmax4371, 18 марта 2019 - 15:29   (...)
А что вообще мотивирует людей хранить плейнтекст? Никогда не понимал таких приколов.
Ответить
Bobs
Bobs, 18 марта 2019 - 17:31   (...)
мотивирует крайне низкая квалификация программиста, человек настолько туп, что не дочитал самую первую книгу про веб-программирование, где рассказывается, как нужно хранить пароль, это тупо на 1 строку кода больше в программе.
Ответить
justmax437
justmax4371, 18 марта 2019 - 19:35   (...)
Бритва Хенлона, да, но я все равно не верю, что бывают настолько тупые люди и что они умудряются попадать в крупные компании, такое просто не пропустили бы на код-ревью.
Ответить
Bobs
Bobs, 18 марта 2019 - 19:54   (...)
ты уверен, что везде есть код-ревью?
опыт показывает, что его скорее всего нет даже на релизе прошивок боингов
Ответить

Добавить комментарий
Если нужно ответить кому-то конкретно,
лучше нажать на «Ответить» под его комментарием