Хакеры обнаружили незащищенные базы данных интернет-магазина GearBest

Группа исследователей vpnMentor под руководством этичного хакера Ноама Ротема опубликовала отчет об уязвимостях базы данных онлайн-магазина Gearbest. Пока публикаций об этом не много (опубликовано всего 3 на момент подготовки новости) и официальной позиции от китайской компании нигде не озвучено.

Поэтому прежде всего рекомендуем нашим читателям проверить свои учетные записи на онлайн-площадке и при возможности удалить персональные данные. Хотя, к сожалению, специалисты не знают сколько база данных оставалось открытой и успели мошенники ли скопировать данные.

Мы допускаем, что тема могла быть поднята не без помощи конкурентов магазина. Но, как говорится, предупрежден, значит вооружен. Мы публикуем эту информацию исключительно в информационных и ознакомительных целях.

Утверждается, что хакерам vpnMentor удалось получить доступ к 1,5 млн записей в различных частях баз данных Gearbest — аккаунтов, заказов, платежей и счетов, данные которых лежат в открытом виде. Для проверки vpnMentor удалось зайти в две учетные записи покупателей, узнать историю заказов, сменить пароль, получить доступ к личной информации и накопленным баллам.

В базе пользователей магазина исследователи нашли различную информацию покупателей: ФИО и дата рождения, адреса электронной почты и пароли от аккаунтов, почтовый адрес и IP-адреса посещений, номер и серия паспорта, платежные данные. Надо понимать, что паспортных и других данных из базы Gearbest может хватить, чтобы получить доступ к банковским приложениям и другим сервисам.

Например, в базе данных специалисты нашли прямые URL-ссылки для доступа к виртуальным картам бразильской платежной системы Oxxo и методу оплаты Boleto, которая регулируется Федерацией банков Бразилии. Кроме того обнаружены выписки по счетам пользователей, которые содержат все их банковские данные и характеристики товара (цвет, размер, бренд) и стоимость товара.

Открытая информация не только нарушает конфиденциальность клиентов, но и потенциально может подвергать их опасности. Магазин продает интимные товары, а доступ к личной информации покупателя может привести к юридическим последствиям, если в стране запрещены ЛГБТ- или добрачные отношения.

Как так получилось?

Команда исследователей занималась web-сканированием: проверяла блоки IP-адресов, сканировала их на уязвимости, а также проверяла владельцев баз данных. Они обнаружили, что один из серверов баз данных Elasticsearch, которые использует корпорация Globalegrow (материнская компания GearBest), не был защищен паролем, и смогли получить доступ к нему через браузер.

Выяснилось, что все базы данных Globalegrow не были защищены и практически не шифровались. Как долго сервер находился в открытом доступе — неизвестно. По информации TechCrunch, базу данных впервые обнаружили 7 марта 2019 года.

Специалисты vpnMentor не только нашли пользовательские данные в открытом виде, но и получили доступ к Kafka — внутренней системе управления данными Globalegrow.

Gearbest входит в число топ-250 мировых веб-сайтов и продает товары не только китайских производителей, но и многих международных брендов. Магазин принадлежит китайской корпорации Globalegrow, которая также управляет Zaful, Rosegal и DressLily. В 2015 году их продажи составили $550 млн; в 2017 году оборот Globalegrow достиг $1,48 млрд.

Интернет-магазин базируется в Китае, но представлен в Европе, имеет склады в Испании, Польше, Чехии и Великобритании, где действуют законы Евросоюза о защите персональных данных и конфиденциальности (GDPR). Любая компания, нарушившая GDPR, может быть оштрафована на сумму до 4% от её глобального дохода, пишет TechCrunch.