Хакеры нашли уязвимость на серверах Gearbest: все данные клиентов онлайн-магазина хранятся в открытом виде Статьи редакции

Исследователи получили доступ к аккаунтам, истории заказов, платежной информации, паспортным данным и банковским картам покупателей.

Группа исследователей vpnMentor под руководством этичного хакера Ноама Ротема опубликовала отчет об уязвимости базы данных китайского онлайн-магазина Gearbest. В марте 2019 года хакерам удалось получить доступ к 1,5 млн записей в различных частях баз Gearbest — аккаунтов, заказов, платежей и счетов, данные которых лежат в открытом виде.

Gearbest входит в число 250 ведущих мировых веб-сайтов и продает товары не только малоизвестных китайских производителей, но и таких брендов, как Asus, Huawei, Intel и Lenovo. Магазин принадлежит китайской корпорации Globalegrow, которая также управляет Zaful, Rosegal и DressLily. В 2015 году их продажи составили $550 млн; в 2017 году оборот Globalegrow достиг $1,48 млрд.

Что удалось найти vpnMentor

В базе пользователей исследователи нашли личную информацию покупателей, которую могут украсть злоумышленники:

  • ФИО и дату рождения;
  • Адреса электронной почты и пароли от аккаунтов в открытом виде;
  • Полный почтовый и IP-адреса покупателя;
  • Номер и серию паспорта покупателя;
  • Платежные данные.

Для проверки vpnMentor удалось зайти в две учетные записи покупателей, узнать историю заказов, сменить пароль, получить доступ к личной информации и накопленным баллам.

Электронная почта и пароли в базе данных vpnMentor

Паспортных и других данных из базы Gearbest может хватить, чтобы получить доступ к банковским приложениям, медицинской информации и сайтам типа «Госуслуг», считают исследователи.

Образец записи из базы данных с полной информацией о клиенте vpnMentor

В базе данных, хранящей информацию о счетах и платежах, специалисты vpnMentor нашли прямые URL-ссылки для доступа к виртуальным картам бразильской платежной системы Oxxo и методу оплаты Boleto, которая регулируется Федерацией банков Бразилии.

Образец виртуальной карты Boleta vpnMentor

Также исследователи смогли найти выписки по счетам пользователей, которые содержат все их банковские данные.

В базе данных заказов хранится точное содержание заказа:

  • ФИО покупателя и адрес заказа;
  • Характеристики товара: цвет, размер, бренд;
  • Стоимость товара.

Открытая информация не только нарушает конфиденциальность клиентов, но и может подвергать их опасности в тех странах, где ограничена свобода выражения, считают TechCrunch и vpnMentor. Магазин продает интимные товары, а доступ к личной информации покупателя может привести к юридическим последствиям, если в стране запрещены ЛГБТ*- или добрачные отношения.

Пакистанец купил интим-товары. Утечка может раскрыть, не нарушает ли он закон. vpnMentor

Как получили доступ

Команда исследователей во главе с хакером занималась web-сканированием: проверяла блоки IP-адресов, сканировала их на уязвимости, а также проверяла владельцев баз данных. Они обнаружили, что один из серверов баз данных Elasticsearch, которые использует корпорация Globalegrow, не был защищен паролем, и смогли получить доступ к нему через браузер.

Выяснилось, что все базы данных Globalegrow не были защищены и практически не шифровались. Как долго сервер находился в открытом доступе — неизвестно. По информации TechCrunch, базу данных впервые обнаружили 7 марта 2019 года.

Уязвимость на уровне серверов

Специалисты vpnMentor не только нашли пользовательские данные в открытом виде, но и получили доступ к Kafka — внутренней системе управления данными Globalegrow.

vpnMentor

С помощью Kafka хакеры могут полностью манипулировать базами данных корпорации, менять их свойства и полностью отключать сервера. Это может привести к невозможности обработать заказы и серьезным перебоям в работе складов и магазинов.

vpnMentor

Политика конфиденциальности Gearbest

Gearbest заявляет, что компания собирает пользовательские данные для улучшения качества, но шифрует важные данные и использует внешнее ПО для их верификации. На самом деле, большая часть конфиденциальной информации никак не зашифрована, считают специалисты vpnMentor.

vpnMentor

Кроме этого, в базах хранится множество данных, упрощающих идентификацию пользователей, но при этом не требующихся интернет-магазину, например, IP-адреса, говорится в исследовании.

Исследователи несколько раз пытались связаться с представителями Gearbest и Globalegrow, чтобы рассказать о нарушениях, но не получили ответа. Также корпорация не отреагировала на уведомление о публикации исследования и запросы издания TechCrunch.

Чем это может грозить Gearbest и Globalegrow

Интернет-магазин базируется в Китае, но представлен в Европе, имеет склады в Испании, Польше, Чехии и Великобритании, где действуют законы Евросоюза о защите персональных данных и конфиденциальности (GDPR). Любая компания, нарушившая GDPR, может быть оштрафована на сумму до 4% от её глобального дохода, пишет TechCrunch.

Реакция Gearbest

15 марта 2019 года компания опубликовала ответ в Facebook. По словам представителей компании, возникли проблемы с внешними инструментами для хранения данных, из-за чего часть данных могла быть скомпрометирована — около 280 тысяч человек.

Компания заявляет, что уязвимые хранилища предназначены для ускорения работы, и используются не более 3 календарных дней, после чего данные в них автоматически уничтожаются.

Уязвимость была устранена в течение двух часов после обнаружения.

*Верховный суд признал экстремистским «международное общественное движение ЛГБТ» и запретил его деятельность в России. Что конкретно подразумевают под «движением» и считают «экстремизмом» — не уточняется.

0
35 комментариев
Написать комментарий...
Nikita Kriuchkov

Трэш.... судя по скринам был открыт полностью сервер куда сливались логи, через syslog (что является стандартной практикой: syslog + Elasticsearch, как ее еще называют ELK)

Но писать такие подробные логи на уровне INFO (которые, скорее всего им нужны только для разработки), верх маразма. А еще Elasticsearch оставить без пароля. Это вишенка на торте.

Ответить
Развернуть ветку
Сергей Владимирович

Это не elk. Elk - это три разных системы, среди которых есть elastic.
Реально сейчас самой лучшей защитой от кражи денег через онлайн является виртуальная карта с ограничением по сумме, заблокировал и делов-то.

Ответить
Развернуть ветку
Nikita Kriuchkov

Вот так и думал, что кто-нибудь да придерется :D, т.к. правильно: "как пример: ELK", но исправлять было поздно... да и какая разница, что я выберу для доставки логов в elastic, думаю большинству читателей ни о чем не скажет ни rsyslog, ни syslog-ng... а с тех пор как все перекачивало в одни руки https://www.elastic.co/elk-stack... it doesn't matter

Ответить
Развернуть ветку
Сергей Владимирович

Я совсем не придираюсь :) Хотел донести читателям иную точку зрения для общего понимания. И мне кажется, что здесь совсем не мало айтишников, кто сечёт и в efk и в elk и много в чем еще.

Ответить
Развернуть ветку
Nikita Kriuchkov

А вот fluentd я бы не стал выбирать для syslog... но кому как.

Ответить
Развернуть ветку
Nikita Kriuchkov

Я говорил не про конкретную реализацию или систему, а про технологию логирования в принципе, но был не понят %)

Ответить
Развернуть ветку
Коля Павельев

Почему школьников, купивших недорогой доступ к Shodan или вообще с бесплатными акками, повсеместно называют хакерами, а их подключение к незапароленным базам хайпят как сливы и взломы? Это проблема площадок, а не достижения "хакеров".

Эффект будет только если люди будут понимать, что "ломают" их именно школьники в свободное от доты время, и слив чувствительных данных клиентов на всяких форумах за копейки ради новой шмотки в игре - это ещё самое мягкое, что они могут сделать. Конкуренты на их месте бы вредили тихо и системно, вплоть до вашего закрытия.

А если рассказывать о хакерах, то никакого эффекта не будет, "если нужно сломают, не буду напрягаться"

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Вася Пражкин

Издревле таких называли "script kiddie" - тех, кто просто использует готовые эксплоиты, зачастую это весьма молодые люди. Всякие открытые сервисы, да еще и без пароля - лакомый кусочек для script kiddie. В узких кругах спецов по безопасности к ним относятся, скажем так, без уважения. Справедливости ради, некоторые script kiddie потом вырастают в действительно грамотных специалистов, но это малый процент от всех.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Вася Пражкин

Дружище, Митник "взламывал" в те времена, когда на ftp еще можно было найти /etc/passwd с хэшами DES. Но по большей части Митник использовал социальную инженерию, что не приветствуется в хакерском обществе. Плюсом скажу, что он еще и фрикерством промышлял.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Вася Пражкин

Если интересна история комп. безопасности - почитайте. Хотя соц. инженерные приемы там описанные актуальны до сих пор. В отличие от парадигмы комп. безопасности - они практически не стареют.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Евгений Делюкин
Автор

Паспортные данные + номер телефона. С нужными ресурсами создается клон сим-карты и авторизационные сообщения приходят злоумышленникам.

Ответить
Развернуть ветку
Пармезан и Бульдозер

теперь хакеры смогут записаться на прием в поликлинику

Ответить
Развернуть ветку
Make Luv

И не прийти на прием НЕ СДАВ ТАЛОНЧИК

Ответить
Развернуть ветку
Alexander Yermakov

жесть ваще. Доигрались, ёпт...

Ответить
Развернуть ветку
Андрей

Вообще пипец какой-то

Ответить
Развернуть ветку
Андрей

Могут ещё штраф заплатить.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Евгений Делюкин
Автор

Есть способы.

Для некоторых стран подойдет социальная инженерия — если известны почта, телефон, номер телефона и т.п. информация, можно попробовать «восстановить потерянную сим-карту». Или по её идентификатору сделать клон с помощью программируемой SIM.

Ещё из теорий: взломать гуглоакк, если телефон на Андроиде, и удаленно установить приложение, зеркалирующее экран. Да и логин-пароль к почте может совпадать с таковой на Gearbest. В общем, у хакеров есть возможность навредить человеку, зная столько его данных.

https://www.forbes.com/sites/laurashin/2016/12/21/hackers-are-hijacking-phone-numbers-and-breaking-into-email-and-bank-accounts-how-to-protect-yourself/#299082fc360f
https://www.forbes.com/sites/laurashin/2016/12/20/hackers-have-stolen-millions-of-dollars-in-bitcoin-using-only-phone-numbers/#3414a37538ba

Ответить
Развернуть ветку
AS
если телефон на Андроиде, и удаленно установить приложение, зеркалирующее экран

Только запустить его удалённо не получится, первый запуск должен быть произведён пользователем.

Ответить
Развернуть ветку
Neko Natum

После того, как сделал клон своей симки просто повертев ей перед продаваном в салоне оператора и назвав нужный номер, могу с уверенностью заявить что это очень просто.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
DJ

В России хакеров тренируют с самого детства. Каждый день новый пентест.

Ответить
Развернуть ветку
Westruk Tech

Слава богу я там вроде ничего не заказывал

Ответить
Развернуть ветку
Al Po

есть альтернативы старым данным вроде данных паспорта. Аналогия- одноразовые пароли, а это одноразовая аутентификация. Двигаться надо в эту сторону а не заставлять разработчиков хрень всякую шифровать- доступ к который и так много кто имеет в компании

Ответить
Развернуть ветку
НечеловеческаяЛогика

жду пока ломанут Алишечку и какая-то империя неизвестная до селе станет править миром, зная информацию почти всего земного шарика :)

Ответить
Развернуть ветку
lakoros

О у них новый дизайн. Смайл похож на лого других компаний, например тур оператор Tui.

Ответить
Развернуть ветку
Danila Poyarkov

Баннеры такие красивые, что хочется кого-нибудь ударить

Ответить
Развернуть ветку
Степан Фадеев

"продает товары не только китайских производителей, но и таких брендов, как Asus, Huawei, Intel и Lenovo."
Ну Intel ладно, но остальная тройка....

Ответить
Развернуть ветку
Евгений Делюкин
Автор

Уточнил, что речь про малоизвестных производителей, спасибо

Ответить
Развернуть ветку
Тим Касымов

Даешь двухфакторку!

Ответить
Развернуть ветку
ge gds

новость баян, еще 2 года назад про это было известно и даже самому магазину сообщали

Ответить
Развернуть ветку
Westruk Tech

Proofs?

Ответить
Развернуть ветку
Александра Смирнова

Как-то уж все слишком легко взламывается

Ответить
Развернуть ветку
Сергей Базаров

Так уже ведь отреагировал магазин - https://www.facebook.com/gearbest/photos/a.640469842668321/2402847263097228/?type=3&theater

Ответить
Развернуть ветку
32 комментария
Раскрывать всегда