Скандал года: магазин Gearbest хранит данные покупателей в открытом виде

для раздела Блоги

Исследовательская группа vpnMentor опубликовала отчёт, посвящённый китайскому интернет-магазину Gearbest. Путём несложных манипуляций авторы получили доступ к нескольким базам данных, которые хранятся в открытом виде. Среди них:

  • информация о заказах (точное содержание заказа, адрес доставки, почтовые индексы, имена покупателей, e-mail, номера телефонов)
  • информация о счетах и платежах (номера заказов, тип оплаты, платёжные данные, имена пользователей и их IP-адреса)
  • личная информация (имя, фамилия, адрес, дата рождения, номер телефона, e-mail, IP-адрес, паспортные данные, пароль от учётной записи).

Магазин Gearbest принадлежит крупной международной корпорации Globalegrow. Выяснилось, что один из её серверов вообще не защищён паролем. Всего там обнаружено более 1,5 млн записей, извлечь которые способен любой приличный хакер. Среди прочего на сервере хранятся данные виртуальных платёжных карт Oxxo и Boleto, популярных в Мексике и Бразилии. Более того, авторам исследования удалось получить доступ к внутренней системе управления Gearbest и Globalegrow, которая называется Kafka. Что, в свою очередь, позволяет полностью парализовать работу складов и магазинов.

Представители vpnMentor несколько раз пытались связаться с сотрудниками компании, отвечающими за безопасность, и предупредить их. К сожалению, эти усилия оказались бесполезны. Никакой реакции не последовало. На момент написания новости (17 марта, 3:25 МСК) мне не удалось найти на сайте Gearbest упоминания об этой проблеме. В связи с чем я рекомендую всем зарегистрированным покупателям самим побеспокоиться о безопасности данных, удалить привязанные карты и другую важную для вас информацию.

Более подробный разбор ситуации доступен на сайтах vpnMentor и vc.ru.

PS. Автор новости надеется на добросовестность пользователей overclockers.ru и рассчитывает, что они не станут использовать полученные знания со злым умыслом. Единственной целью публикации является привлечение внимания к проблеме. Я хотел бы, чтобы общественный резонанс вынудил компанию Gearbest защитить личные данные клиентов и устранить уязвимость.

Telegram-канал @overclockers_news - это удобный способ следить за новыми материалами на сайте. С картинками, расширенными описаниями и без рекламы.
Оценитe материал
рейтинг: 2.0 из 5
голосов: 4

Возможно вас заинтересует

Популярные новости

Сейчас обсуждают