Торговля Евгений Делюкин
10 652

Хакеры нашли уязвимость на серверах Gearbest: все данные клиентов онлайн-магазина хранятся в открытом виде

Исследователи получили доступ к аккаунтам, истории заказов, платежной информации, паспортным данным и банковским картам покупателей.

В закладки
Аудио

Группа исследователей vpnMentor под руководством этичного хакера Ноама Ротема опубликовала отчет об уязвимости базы данных китайского онлайн-магазина Gearbest. В марте 2019 года хакерам удалось получить доступ к 1,5 млн записей в различных частях баз Gearbest — аккаунтов, заказов, платежей и счетов, данные которых лежат в открытом виде.

Gearbest входит в число 250 ведущих мировых веб-сайтов и продает товары не только малоизвестных китайских производителей, но и таких брендов, как Asus, Huawei, Intel и Lenovo. Магазин принадлежит китайской корпорации Globalegrow, которая также управляет Zaful, Rosegal и DressLily. В 2015 году их продажи составили $550 млн; в 2017 году оборот Globalegrow достиг $1,48 млрд.

Что удалось найти vpnMentor

В базе пользователей исследователи нашли личную информацию покупателей, которую могут украсть злоумышленники:

  • ФИО и дату рождения;
  • Адреса электронной почты и пароли от аккаунтов в открытом виде;
  • Полный почтовый и IP-адреса покупателя;
  • Номер и серию паспорта покупателя;
  • Платежные данные.

Для проверки vpnMentor удалось зайти в две учетные записи покупателей, узнать историю заказов, сменить пароль, получить доступ к личной информации и накопленным баллам.

Электронная почта и пароли в базе данных vpnMentor

Паспортных и других данных из базы Gearbest может хватить, чтобы получить доступ к банковским приложениям, медицинской информации и сайтам типа «Госуслуг», считают исследователи.

Образец записи из базы данных с полной информацией о клиенте vpnMentor

В базе данных, хранящей информацию о счетах и платежах, специалисты vpnMentor нашли прямые URL-ссылки для доступа к виртуальным картам бразильской платежной системы Oxxo и методу оплаты Boleto, которая регулируется Федерацией банков Бразилии.

Образец виртуальной карты Boleta vpnMentor

Также исследователи смогли найти выписки по счетам пользователей, которые содержат все их банковские данные.

В базе данных заказов хранится точное содержание заказа:

  • ФИО покупателя и адрес заказа;
  • Характеристики товара: цвет, размер, бренд;
  • Стоимость товара.

Открытая информация не только нарушает конфиденциальность клиентов, но и может подвергать их опасности в тех странах, где ограничена свобода выражения, считают TechCrunch и vpnMentor. Магазин продает интимные товары, а доступ к личной информации покупателя может привести к юридическим последствиям, если в стране запрещены ЛГБТ- или добрачные отношения.

Пакистанец купил интим-товары. Утечка может раскрыть, не нарушает ли он закон. vpnMentor

Как получили доступ

Команда исследователей во главе с хакером занималась web-сканированием: проверяла блоки IP-адресов, сканировала их на уязвимости, а также проверяла владельцев баз данных. Они обнаружили, что один из серверов баз данных Elasticsearch, которые использует корпорация Globalegrow, не был защищен паролем, и смогли получить доступ к нему через браузер.

Выяснилось, что все базы данных Globalegrow не были защищены и практически не шифровались. Как долго сервер находился в открытом доступе — неизвестно. По информации TechCrunch, базу данных впервые обнаружили 7 марта 2019 года.

Уязвимость на уровне серверов

Специалисты vpnMentor не только нашли пользовательские данные в открытом виде, но и получили доступ к Kafka — внутренней системе управления данными Globalegrow.

vpnMentor

С помощью Kafka хакеры могут полностью манипулировать базами данных корпорации, менять их свойства и полностью отключать сервера. Это может привести к невозможности обработать заказы и серьезным перебоям в работе складов и магазинов.

vpnMentor

Политика конфиденциальности Gearbest

Gearbest заявляет, что компания собирает пользовательские данные для улучшения качества, но шифрует важные данные и использует внешнее ПО для их верификации. На самом деле, большая часть конфиденциальной информации никак не зашифрована, считают специалисты vpnMentor.

vpnMentor

Кроме этого, в базах хранится множество данных, упрощающих идентификацию пользователей, но при этом не требующихся интернет-магазину, например, IP-адреса, говорится в исследовании.

Исследователи несколько раз пытались связаться с представителями Gearbest и Globalegrow, чтобы рассказать о нарушениях, но не получили ответа. Также корпорация не отреагировала на уведомление о публикации исследования и запросы издания TechCrunch.

Чем это может грозить Gearbest и Globalegrow

Интернет-магазин базируется в Китае, но представлен в Европе, имеет склады в Испании, Польше, Чехии и Великобритании, где действуют законы Евросоюза о защите персональных данных и конфиденциальности (GDPR). Любая компания, нарушившая GDPR, может быть оштрафована на сумму до 4% от её глобального дохода, пишет TechCrunch.

Реакция Gearbest

15 марта 2019 года компания опубликовала ответ в Facebook. По словам представителей компании, возникли проблемы с внешними инструментами для хранения данных, из-за чего часть данных могла быть скомпрометирована — около 280 тысяч человек.

Компания заявляет, что уязвимые хранилища предназначены для ускорения работы, и используются не более 3 календарных дней, после чего данные в них автоматически уничтожаются.

Уязвимость была устранена в течение двух часов после обнаружения.

#новость #Gearbest #Globalegrow #утечкиданных

{ "author_name": "Евгений Делюкин", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","globalegrow","gearbest"], "comments": 35, "likes": 48, "favorites": 9, "is_advertisement": false, "subsite_label": "trade", "id": 61307, "is_wide": false, "is_ugc": false, "date": "Fri, 15 Mar 2019 15:04:14 +0300" }
{ "id": 61307, "author_id": 124903, "diff_limit": 1000, "urls": {"diff":"\/comments\/61307\/get","add":"\/comments\/61307\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/61307"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199122 }

35 комментариев 35 комм.

Популярные

По порядку

Написать комментарий...
11

Трэш.... судя по скринам был открыт полностью сервер куда сливались логи, через syslog (что является стандартной практикой: syslog + Elasticsearch, как ее еще называют ELK)

Но писать такие подробные логи на уровне INFO (которые, скорее всего им нужны только для разработки), верх маразма. А еще Elasticsearch оставить без пароля. Это вишенка на торте.

Ответить
2

Это не elk. Elk - это три разных системы, среди которых есть elastic.
Реально сейчас самой лучшей защитой от кражи денег через онлайн является виртуальная карта с ограничением по сумме, заблокировал и делов-то.

Ответить
1

Вот так и думал, что кто-нибудь да придерется :D, т.к. правильно: "как пример: ELK", но исправлять было поздно... да и какая разница, что я выберу для доставки логов в elastic, думаю большинству читателей ни о чем не скажет ни rsyslog, ни syslog-ng... а с тех пор как все перекачивало в одни руки https://www.elastic.co/elk-stack... it doesn't matter

Ответить
3

Я совсем не придираюсь :) Хотел донести читателям иную точку зрения для общего понимания. И мне кажется, что здесь совсем не мало айтишников, кто сечёт и в efk и в elk и много в чем еще.

Ответить
0

А вот fluentd я бы не стал выбирать для syslog... но кому как.

Ответить
0

Я говорил не про конкретную реализацию или систему, а про технологию логирования в принципе, но был не понят %)

Ответить
11

Почему школьников, купивших недорогой доступ к Shodan или вообще с бесплатными акками, повсеместно называют хакерами, а их подключение к незапароленным базам хайпят как сливы и взломы? Это проблема площадок, а не достижения "хакеров".

Эффект будет только если люди будут понимать, что "ломают" их именно школьники в свободное от доты время, и слив чувствительных данных клиентов на всяких форумах за копейки ради новой шмотки в игре - это ещё самое мягкое, что они могут сделать. Конкуренты на их месте бы вредили тихо и системно, вплоть до вашего закрытия.

А если рассказывать о хакерах, то никакого эффекта не будет, "если нужно сломают, не буду напрягаться"

Ответить

Комментарий удален

0

Издревле таких называли "script kiddie" - тех, кто просто использует готовые эксплоиты, зачастую это весьма молодые люди. Всякие открытые сервисы, да еще и без пароля - лакомый кусочек для script kiddie. В узких кругах спецов по безопасности к ним относятся, скажем так, без уважения. Справедливости ради, некоторые script kiddie потом вырастают в действительно грамотных специалистов, но это малый процент от всех.

Ответить
–1

Хулиганы. Интернет-проказники. Да как угодно, но только не хакерами.

http://splushka.com/texts/hacker.htm

Ответить

Комментарий удален

0

Дружище, Митник "взламывал" в те времена, когда на ftp еще можно было найти /etc/passwd с хэшами DES. Но по большей части Митник использовал социальную инженерию, что не приветствуется в хакерском обществе. Плюсом скажу, что он еще и фрикерством промышлял.

Ответить

Комментарий удален

0

Если интересна история комп. безопасности - почитайте. Хотя соц. инженерные приемы там описанные актуальны до сих пор. В отличие от парадигмы комп. безопасности - они практически не стареют.

Ответить
0

На госуслуги не попадешь зная паспортные данные и почту

Ответить
4

Паспортные данные + номер телефона. С нужными ресурсами создается клон сим-карты и авторизационные сообщения приходят злоумышленникам.

Ответить
38

теперь хакеры смогут записаться на прием в поликлинику

Ответить
4

И не прийти на прием НЕ СДАВ ТАЛОНЧИК

Ответить
4

жесть ваще. Доигрались, ёпт...

Ответить
0

Вообще пипец какой-то

Ответить
3

Могут ещё штраф заплатить.

Ответить
0

как сделать клон симки не имея доступ к оригинальной?

Ответить
2

Есть способы.

Для некоторых стран подойдет социальная инженерия — если известны почта, телефон, номер телефона и т.п. информация, можно попробовать «восстановить потерянную сим-карту». Или по её идентификатору сделать клон с помощью программируемой SIM.

Ещё из теорий: взломать гуглоакк, если телефон на Андроиде, и удаленно установить приложение, зеркалирующее экран. Да и логин-пароль к почте может совпадать с таковой на Gearbest. В общем, у хакеров есть возможность навредить человеку, зная столько его данных.

https://www.forbes.com/sites/laurashin/2016/12/21/hackers-are-hijacking-phone-numbers-and-breaking-into-email-and-bank-accounts-how-to-protect-yourself/#299082fc360f
https://www.forbes.com/sites/laurashin/2016/12/20/hackers-have-stolen-millions-of-dollars-in-bitcoin-using-only-phone-numbers/#3414a37538ba

Ответить
1

если телефон на Андроиде, и удаленно установить приложение, зеркалирующее экран

Только запустить его удалённо не получится, первый запуск должен быть произведён пользователем.

Ответить
2

После того, как сделал клон своей симки просто повертев ей перед продаваном в салоне оператора и назвав нужный номер, могу с уверенностью заявить что это очень просто.

Ответить
0

Тоже так делал)

Ответить
2

Слава богу я там вроде ничего не заказывал

Ответить
1

есть альтернативы старым данным вроде данных паспорта. Аналогия- одноразовые пароли, а это одноразовая аутентификация. Двигаться надо в эту сторону а не заставлять разработчиков хрень всякую шифровать- доступ к который и так много кто имеет в компании

Ответить
1

жду пока ломанут Алишечку и какая-то империя неизвестная до селе станет править миром, зная информацию почти всего земного шарика :)

Ответить
0

О у них новый дизайн. Смайл похож на лого других компаний, например тур оператор Tui.

Ответить
1

Баннеры такие красивые, что хочется кого-нибудь ударить

Ответить
0

"продает товары не только китайских производителей, но и таких брендов, как Asus, Huawei, Intel и Lenovo."
Ну Intel ладно, но остальная тройка....

Ответить
1

Уточнил, что речь про малоизвестных производителей, спасибо

Ответить
0

Даешь двухфакторку!

Ответить
0

новость баян, еще 2 года назад про это было известно и даже самому магазину сообщали

Ответить
0

Proofs?

Ответить
0

Как-то уж все слишком легко взламывается

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Нейронная сеть научилась читать стихи
голосом Пастернака и смотреть в окно на осень
Подписаться на push-уведомления
{ "page_type": "default" }