Хакеры нашли уязвимость на серверах Gearbest: все данные клиентов онлайн-магазина хранятся в открытом виде

Исследователи получили доступ к аккаунтам, истории заказов, платежной информации, паспортным данным и банковским картам покупателей.

Группа исследователей vpnMentor под руководством этичного хакера Ноама Ротема опубликовала отчет об уязвимости базы данных китайского онлайн-магазина Gearbest. В марте 2019 года хакерам удалось получить доступ к 1,5 млн записей в различных частях баз Gearbest — аккаунтов, заказов, платежей и счетов, данные которых лежат в открытом виде.

Gearbest входит в число 250 ведущих мировых веб-сайтов и продает товары не только малоизвестных китайских производителей, но и таких брендов, как Asus, Huawei, Intel и Lenovo. Магазин принадлежит китайской корпорации Globalegrow, которая также управляет Zaful, Rosegal и DressLily. В 2015 году их продажи составили $550 млн; в 2017 году оборот Globalegrow достиг $1,48 млрд.

В базе пользователей исследователи нашли личную информацию покупателей, которую могут украсть злоумышленники:

Для проверки vpnMentor удалось зайти в две учетные записи покупателей, узнать историю заказов, сменить пароль, получить доступ к личной информации и накопленным баллам.

Паспортных и других данных из базы Gearbest может хватить, чтобы получить доступ к банковским приложениям, медицинской информации и сайтам типа «Госуслуг», считают исследователи.

В базе данных, хранящей информацию о счетах и платежах, специалисты vpnMentor нашли прямые URL-ссылки для доступа к виртуальным картам бразильской платежной системы Oxxo и методу оплаты Boleto, которая регулируется Федерацией банков Бразилии.

Также исследователи смогли найти выписки по счетам пользователей, которые содержат все их банковские данные.

В базе данных заказов хранится точное содержание заказа:

Открытая информация не только нарушает конфиденциальность клиентов, но и может подвергать их опасности в тех странах, где ограничена свобода выражения, считают TechCrunch и vpnMentor. Магазин продает интимные товары, а доступ к личной информации покупателя может привести к юридическим последствиям, если в стране запрещены ЛГБТ*- или добрачные отношения.

Команда исследователей во главе с хакером занималась web-сканированием: проверяла блоки IP-адресов, сканировала их на уязвимости, а также проверяла владельцев баз данных. Они обнаружили, что один из серверов баз данных Elasticsearch, которые использует корпорация Globalegrow, не был защищен паролем, и смогли получить доступ к нему через браузер.

Выяснилось, что все базы данных Globalegrow не были защищены и практически не шифровались. Как долго сервер находился в открытом доступе — неизвестно. По информации TechCrunch, базу данных впервые обнаружили 7 марта 2019 года.

Специалисты vpnMentor не только нашли пользовательские данные в открытом виде, но и получили доступ к Kafka — внутренней системе управления данными Globalegrow.

С помощью Kafka хакеры могут полностью манипулировать базами данных корпорации, менять их свойства и полностью отключать сервера. Это может привести к невозможности обработать заказы и серьезным перебоям в работе складов и магазинов.

Gearbest заявляет, что компания собирает пользовательские данные для улучшения качества, но шифрует важные данные и использует внешнее ПО для их верификации. На самом деле, большая часть конфиденциальной информации никак не зашифрована, считают специалисты vpnMentor.

Кроме этого, в базах хранится множество данных, упрощающих идентификацию пользователей, но при этом не требующихся интернет-магазину, например, IP-адреса, говорится в исследовании.

Исследователи несколько раз пытались связаться с представителями Gearbest и Globalegrow, чтобы рассказать о нарушениях, но не получили ответа. Также корпорация не отреагировала на уведомление о публикации исследования и запросы издания TechCrunch.

Интернет-магазин базируется в Китае, но представлен в Европе, имеет склады в Испании, Польше, Чехии и Великобритании, где действуют законы Евросоюза о защите персональных данных и конфиденциальности (GDPR). Любая компания, нарушившая GDPR, может быть оштрафована на сумму до 4% от её глобального дохода, пишет TechCrunch.

15 марта 2019 года компания опубликовала ответ в Facebook. По словам представителей компании, возникли проблемы с внешними инструментами для хранения данных, из-за чего часть данных могла быть скомпрометирована — около 280 тысяч человек.

Компания заявляет, что уязвимые хранилища предназначены для ускорения работы, и используются не более 3 календарных дней, после чего данные в них автоматически уничтожаются.

Уязвимость была устранена в течение двух часов после обнаружения.

*Верховный суд признал экстремистским «международное общественное движение ЛГБТ» и запретил его деятельность в России. Что конкретно подразумевают под «движением» и считают «экстремизмом» — не уточняется.

#новость #Gearbest #Globalegrow #утечкиданных