Хакеры нашли уязвимость на серверах Gearbest: все данные клиентов онлайн-магазина хранятся в открытом виде Статьи редакции
Исследователи получили доступ к аккаунтам, истории заказов, платежной информации, паспортным данным и банковским картам покупателей.
Группа исследователей vpnMentor под руководством этичного хакера Ноама Ротема опубликовала отчет об уязвимости базы данных китайского онлайн-магазина Gearbest. В марте 2019 года хакерам удалось получить доступ к 1,5 млн записей в различных частях баз Gearbest — аккаунтов, заказов, платежей и счетов, данные которых лежат в открытом виде.
Gearbest входит в число 250 ведущих мировых веб-сайтов и продает товары не только малоизвестных китайских производителей, но и таких брендов, как Asus, Huawei, Intel и Lenovo. Магазин принадлежит китайской корпорации Globalegrow, которая также управляет Zaful, Rosegal и DressLily. В 2015 году их продажи составили $550 млн; в 2017 году оборот Globalegrow достиг $1,48 млрд.
Что удалось найти vpnMentor
В базе пользователей исследователи нашли личную информацию покупателей, которую могут украсть злоумышленники:
- ФИО и дату рождения;
- Адреса электронной почты и пароли от аккаунтов в открытом виде;
- Полный почтовый и IP-адреса покупателя;
- Номер и серию паспорта покупателя;
- Платежные данные.
Для проверки vpnMentor удалось зайти в две учетные записи покупателей, узнать историю заказов, сменить пароль, получить доступ к личной информации и накопленным баллам.
Паспортных и других данных из базы Gearbest может хватить, чтобы получить доступ к банковским приложениям, медицинской информации и сайтам типа «Госуслуг», считают исследователи.
В базе данных, хранящей информацию о счетах и платежах, специалисты vpnMentor нашли прямые URL-ссылки для доступа к виртуальным картам бразильской платежной системы Oxxo и методу оплаты Boleto, которая регулируется Федерацией банков Бразилии.
Также исследователи смогли найти выписки по счетам пользователей, которые содержат все их банковские данные.
В базе данных заказов хранится точное содержание заказа:
- ФИО покупателя и адрес заказа;
- Характеристики товара: цвет, размер, бренд;
- Стоимость товара.
Открытая информация не только нарушает конфиденциальность клиентов, но и может подвергать их опасности в тех странах, где ограничена свобода выражения, считают TechCrunch и vpnMentor. Магазин продает интимные товары, а доступ к личной информации покупателя может привести к юридическим последствиям, если в стране запрещены ЛГБТ*- или добрачные отношения.
Как получили доступ
Команда исследователей во главе с хакером занималась web-сканированием: проверяла блоки IP-адресов, сканировала их на уязвимости, а также проверяла владельцев баз данных. Они обнаружили, что один из серверов баз данных Elasticsearch, которые использует корпорация Globalegrow, не был защищен паролем, и смогли получить доступ к нему через браузер.
Выяснилось, что все базы данных Globalegrow не были защищены и практически не шифровались. Как долго сервер находился в открытом доступе — неизвестно. По информации TechCrunch, базу данных впервые обнаружили 7 марта 2019 года.
Уязвимость на уровне серверов
Специалисты vpnMentor не только нашли пользовательские данные в открытом виде, но и получили доступ к Kafka — внутренней системе управления данными Globalegrow.
С помощью Kafka хакеры могут полностью манипулировать базами данных корпорации, менять их свойства и полностью отключать сервера. Это может привести к невозможности обработать заказы и серьезным перебоям в работе складов и магазинов.
Политика конфиденциальности Gearbest
Gearbest заявляет, что компания собирает пользовательские данные для улучшения качества, но шифрует важные данные и использует внешнее ПО для их верификации. На самом деле, большая часть конфиденциальной информации никак не зашифрована, считают специалисты vpnMentor.
Кроме этого, в базах хранится множество данных, упрощающих идентификацию пользователей, но при этом не требующихся интернет-магазину, например, IP-адреса, говорится в исследовании.
Исследователи несколько раз пытались связаться с представителями Gearbest и Globalegrow, чтобы рассказать о нарушениях, но не получили ответа. Также корпорация не отреагировала на уведомление о публикации исследования и запросы издания TechCrunch.
Чем это может грозить Gearbest и Globalegrow
Интернет-магазин базируется в Китае, но представлен в Европе, имеет склады в Испании, Польше, Чехии и Великобритании, где действуют законы Евросоюза о защите персональных данных и конфиденциальности (GDPR). Любая компания, нарушившая GDPR, может быть оштрафована на сумму до 4% от её глобального дохода, пишет TechCrunch.
Реакция Gearbest
15 марта 2019 года компания опубликовала ответ в Facebook. По словам представителей компании, возникли проблемы с внешними инструментами для хранения данных, из-за чего часть данных могла быть скомпрометирована — около 280 тысяч человек.
Компания заявляет, что уязвимые хранилища предназначены для ускорения работы, и используются не более 3 календарных дней, после чего данные в них автоматически уничтожаются.
Уязвимость была устранена в течение двух часов после обнаружения.
*Верховный суд признал экстремистским «международное общественное движение ЛГБТ» и запретил его деятельность в России. Что конкретно подразумевают под «движением» и считают «экстремизмом» — не уточняется.
Трэш.... судя по скринам был открыт полностью сервер куда сливались логи, через syslog (что является стандартной практикой: syslog + Elasticsearch, как ее еще называют ELK)
Но писать такие подробные логи на уровне INFO (которые, скорее всего им нужны только для разработки), верх маразма. А еще Elasticsearch оставить без пароля. Это вишенка на торте.
Это не elk. Elk - это три разных системы, среди которых есть elastic.
Реально сейчас самой лучшей защитой от кражи денег через онлайн является виртуальная карта с ограничением по сумме, заблокировал и делов-то.
Вот так и думал, что кто-нибудь да придерется :D, т.к. правильно: "как пример: ELK", но исправлять было поздно... да и какая разница, что я выберу для доставки логов в elastic, думаю большинству читателей ни о чем не скажет ни rsyslog, ни syslog-ng... а с тех пор как все перекачивало в одни руки https://www.elastic.co/elk-stack... it doesn't matter
Я совсем не придираюсь :) Хотел донести читателям иную точку зрения для общего понимания. И мне кажется, что здесь совсем не мало айтишников, кто сечёт и в efk и в elk и много в чем еще.
А вот fluentd я бы не стал выбирать для syslog... но кому как.
Я говорил не про конкретную реализацию или систему, а про технологию логирования в принципе, но был не понят %)
Почему школьников, купивших недорогой доступ к Shodan или вообще с бесплатными акками, повсеместно называют хакерами, а их подключение к незапароленным базам хайпят как сливы и взломы? Это проблема площадок, а не достижения "хакеров".
Эффект будет только если люди будут понимать, что "ломают" их именно школьники в свободное от доты время, и слив чувствительных данных клиентов на всяких форумах за копейки ради новой шмотки в игре - это ещё самое мягкое, что они могут сделать. Конкуренты на их месте бы вредили тихо и системно, вплоть до вашего закрытия.
А если рассказывать о хакерах, то никакого эффекта не будет, "если нужно сломают, не буду напрягаться"
Комментарий удален модератором
Издревле таких называли "script kiddie" - тех, кто просто использует готовые эксплоиты, зачастую это весьма молодые люди. Всякие открытые сервисы, да еще и без пароля - лакомый кусочек для script kiddie. В узких кругах спецов по безопасности к ним относятся, скажем так, без уважения. Справедливости ради, некоторые script kiddie потом вырастают в действительно грамотных специалистов, но это малый процент от всех.
Комментарий недоступен
Комментарий удален модератором
Дружище, Митник "взламывал" в те времена, когда на ftp еще можно было найти /etc/passwd с хэшами DES. Но по большей части Митник использовал социальную инженерию, что не приветствуется в хакерском обществе. Плюсом скажу, что он еще и фрикерством промышлял.
Комментарий удален модератором
Если интересна история комп. безопасности - почитайте. Хотя соц. инженерные приемы там описанные актуальны до сих пор. В отличие от парадигмы комп. безопасности - они практически не стареют.
Комментарий недоступен
Паспортные данные + номер телефона. С нужными ресурсами создается клон сим-карты и авторизационные сообщения приходят злоумышленникам.
теперь хакеры смогут записаться на прием в поликлинику
И не прийти на прием НЕ СДАВ ТАЛОНЧИК
жесть ваще. Доигрались, ёпт...
Вообще пипец какой-то
Могут ещё штраф заплатить.
Комментарий недоступен
Есть способы.
Для некоторых стран подойдет социальная инженерия — если известны почта, телефон, номер телефона и т.п. информация, можно попробовать «восстановить потерянную сим-карту». Или по её идентификатору сделать клон с помощью программируемой SIM.
Ещё из теорий: взломать гуглоакк, если телефон на Андроиде, и удаленно установить приложение, зеркалирующее экран. Да и логин-пароль к почте может совпадать с таковой на Gearbest. В общем, у хакеров есть возможность навредить человеку, зная столько его данных.
https://www.forbes.com/sites/laurashin/2016/12/21/hackers-are-hijacking-phone-numbers-and-breaking-into-email-and-bank-accounts-how-to-protect-yourself/#299082fc360f
https://www.forbes.com/sites/laurashin/2016/12/20/hackers-have-stolen-millions-of-dollars-in-bitcoin-using-only-phone-numbers/#3414a37538ba
Только запустить его удалённо не получится, первый запуск должен быть произведён пользователем.
После того, как сделал клон своей симки просто повертев ей перед продаваном в салоне оператора и назвав нужный номер, могу с уверенностью заявить что это очень просто.
Комментарий удален модератором
В России хакеров тренируют с самого детства. Каждый день новый пентест.
Слава богу я там вроде ничего не заказывал
есть альтернативы старым данным вроде данных паспорта. Аналогия- одноразовые пароли, а это одноразовая аутентификация. Двигаться надо в эту сторону а не заставлять разработчиков хрень всякую шифровать- доступ к который и так много кто имеет в компании
жду пока ломанут Алишечку и какая-то империя неизвестная до селе станет править миром, зная информацию почти всего земного шарика :)
О у них новый дизайн. Смайл похож на лого других компаний, например тур оператор Tui.
Баннеры такие красивые, что хочется кого-нибудь ударить
"продает товары не только китайских производителей, но и таких брендов, как Asus, Huawei, Intel и Lenovo."
Ну Intel ладно, но остальная тройка....
Уточнил, что речь про малоизвестных производителей, спасибо
Даешь двухфакторку!
новость баян, еще 2 года назад про это было известно и даже самому магазину сообщали
Proofs?
Как-то уж все слишком легко взламывается
Так уже ведь отреагировал магазин - https://www.facebook.com/gearbest/photos/a.640469842668321/2402847263097228/?type=3&theater