Хакеры нашли уязвимость на серверах Gearbest: все данные клиентов онлайн-магазина хранятся в открытом виде

Исследователи получили доступ к аккаунтам, истории заказов, платежной информации, паспортным данным и банковским картам покупателей.

Группа исследователей vpnMentor под руководством этичного хакера Ноама Ротема опубликовала отчет об уязвимости базы данных китайского онлайн-магазина Gearbest. В марте 2019 года хакерам удалось получить доступ к 1,5 млн записей в различных частях баз Gearbest — аккаунтов, заказов, платежей и счетов, данные которых лежат в открытом виде.

Хакеры нашли уязвимость на серверах Gearbest: все данные клиентов онлайн-магазина хранятся в открытом виде

Gearbest входит в число 250 ведущих мировых веб-сайтов и продает товары не только малоизвестных китайских производителей, но и таких брендов, как Asus, Huawei, Intel и Lenovo. Магазин принадлежит китайской корпорации Globalegrow, которая также управляет Zaful, Rosegal и DressLily. В 2015 году их продажи составили $550 млн; в 2017 году оборот Globalegrow достиг $1,48 млрд.

Что удалось найти vpnMentor

В базе пользователей исследователи нашли личную информацию покупателей, которую могут украсть злоумышленники:

  • ФИО и дату рождения;
  • Адреса электронной почты и пароли от аккаунтов в открытом виде;
  • Полный почтовый и IP-адреса покупателя;
  • Номер и серию паспорта покупателя;
  • Платежные данные.

Для проверки vpnMentor удалось зайти в две учетные записи покупателей, узнать историю заказов, сменить пароль, получить доступ к личной информации и накопленным баллам.

Электронная почта и пароли в базе данных vpnMentor
Электронная почта и пароли в базе данных vpnMentor

Паспортных и других данных из базы Gearbest может хватить, чтобы получить доступ к банковским приложениям, медицинской информации и сайтам типа «Госуслуг», считают исследователи.

Образец записи из базы данных с полной информацией о клиенте vpnMentor
Образец записи из базы данных с полной информацией о клиенте vpnMentor

В базе данных, хранящей информацию о счетах и платежах, специалисты vpnMentor нашли прямые URL-ссылки для доступа к виртуальным картам бразильской платежной системы Oxxo и методу оплаты Boleto, которая регулируется Федерацией банков Бразилии.

Образец виртуальной карты Boleta vpnMentor
Образец виртуальной карты Boleta vpnMentor

Также исследователи смогли найти выписки по счетам пользователей, которые содержат все их банковские данные.

В базе данных заказов хранится точное содержание заказа:

  • ФИО покупателя и адрес заказа;
  • Характеристики товара: цвет, размер, бренд;
  • Стоимость товара.

Открытая информация не только нарушает конфиденциальность клиентов, но и может подвергать их опасности в тех странах, где ограничена свобода выражения, считают TechCrunch и vpnMentor. Магазин продает интимные товары, а доступ к личной информации покупателя может привести к юридическим последствиям, если в стране запрещены ЛГБТ*- или добрачные отношения.

Пакистанец купил интим-товары. Утечка может раскрыть, не нарушает ли он закон. vpnMentor
Пакистанец купил интим-товары. Утечка может раскрыть, не нарушает ли он закон. vpnMentor

Как получили доступ

Команда исследователей во главе с хакером занималась web-сканированием: проверяла блоки IP-адресов, сканировала их на уязвимости, а также проверяла владельцев баз данных. Они обнаружили, что один из серверов баз данных Elasticsearch, которые использует корпорация Globalegrow, не был защищен паролем, и смогли получить доступ к нему через браузер.

Выяснилось, что все базы данных Globalegrow не были защищены и практически не шифровались. Как долго сервер находился в открытом доступе — неизвестно. По информации TechCrunch, базу данных впервые обнаружили 7 марта 2019 года.

Уязвимость на уровне серверов

Специалисты vpnMentor не только нашли пользовательские данные в открытом виде, но и получили доступ к Kafka — внутренней системе управления данными Globalegrow.

vpnMentor
vpnMentor

С помощью Kafka хакеры могут полностью манипулировать базами данных корпорации, менять их свойства и полностью отключать сервера. Это может привести к невозможности обработать заказы и серьезным перебоям в работе складов и магазинов.

vpnMentor
vpnMentor

Политика конфиденциальности Gearbest

Gearbest заявляет, что компания собирает пользовательские данные для улучшения качества, но шифрует важные данные и использует внешнее ПО для их верификации. На самом деле, большая часть конфиденциальной информации никак не зашифрована, считают специалисты vpnMentor.

vpnMentor
vpnMentor

Кроме этого, в базах хранится множество данных, упрощающих идентификацию пользователей, но при этом не требующихся интернет-магазину, например, IP-адреса, говорится в исследовании.

Исследователи несколько раз пытались связаться с представителями Gearbest и Globalegrow, чтобы рассказать о нарушениях, но не получили ответа. Также корпорация не отреагировала на уведомление о публикации исследования и запросы издания TechCrunch.

Чем это может грозить Gearbest и Globalegrow

Интернет-магазин базируется в Китае, но представлен в Европе, имеет склады в Испании, Польше, Чехии и Великобритании, где действуют законы Евросоюза о защите персональных данных и конфиденциальности (GDPR). Любая компания, нарушившая GDPR, может быть оштрафована на сумму до 4% от её глобального дохода, пишет TechCrunch.

Реакция Gearbest

15 марта 2019 года компания опубликовала ответ в Facebook. По словам представителей компании, возникли проблемы с внешними инструментами для хранения данных, из-за чего часть данных могла быть скомпрометирована — около 280 тысяч человек.

Компания заявляет, что уязвимые хранилища предназначены для ускорения работы, и используются не более 3 календарных дней, после чего данные в них автоматически уничтожаются.

Уязвимость была устранена в течение двух часов после обнаружения.

*Верховный суд признал экстремистским «международное общественное движение ЛГБТ» и запретил его деятельность в России. Что конкретно подразумевают под «движением» и считают «экстремизмом» — не уточняется.

3131
35 комментариев

Трэш.... судя по скринам был открыт полностью сервер куда сливались логи, через syslog (что является стандартной практикой: syslog + Elasticsearch, как ее еще называют ELK)

Но писать такие подробные логи на уровне INFO (которые, скорее всего им нужны только для разработки), верх маразма. А еще Elasticsearch оставить без пароля. Это вишенка на торте.

11

Это не elk. Elk - это три разных системы, среди которых есть elastic.
Реально сейчас самой лучшей защитой от кражи денег через онлайн является виртуальная карта с ограничением по сумме, заблокировал и делов-то.

3

Почему школьников, купивших недорогой доступ к Shodan или вообще с бесплатными акками, повсеместно называют хакерами, а их подключение к незапароленным базам хайпят как сливы и взломы? Это проблема площадок, а не достижения "хакеров".

Эффект будет только если люди будут понимать, что "ломают" их именно школьники в свободное от доты время, и слив чувствительных данных клиентов на всяких форумах за копейки ради новой шмотки в игре - это ещё самое мягкое, что они могут сделать. Конкуренты на их месте бы вредили тихо и системно, вплоть до вашего закрытия.

А если рассказывать о хакерах, то никакого эффекта не будет, "если нужно сломают, не буду напрягаться"

12

Комментарий удалён модератором

Комментарий недоступен

Паспортные данные + номер телефона. С нужными ресурсами создается клон сим-карты и авторизационные сообщения приходят злоумышленникам.

4

В России хакеров тренируют с самого детства. Каждый день новый пентест.