Из китайского онлайн-магазина Gearbest утекли данные сотен тысяч клиентов

Технологии

Исследовательская группа vpnMentor под руководством "белого" хакера Ноама Ротема обнаружила крупную уязвимость в интернет-магазине китайских товаров Gearbest. Как оказалось, база данных сайта никак не защищена, а вся информация, связанная с покупателями, хранится в незашифрованном виде.

В результате этичным хакерам удалось получить доступ к истории заказов (в том числе их полному содержанию), именам, датам рождения и телефонам пользователей, а также адресам доставки, платежной информации, паспортным данным и банковским картам. Всего было найдено 1,5 миллиона записей.

В vpnMentor сообщили, что эти данные "не были зашифрованы вообще никак". "Конечно, все зависит от страны и ситуации, однако в России такого набора данных хакерам хватит, чтобы получить доступ к сайтам типа Госуслуг, банковским приложениям, медицинской информации и не только", — сказали исследователи.

Эксперты сумели добраться и до внутренней системы управления, которая называется Kafka. Она позволяет управлять не только Gearbest, но и другими сайтами, принадлежащими китайской компании Globalegrow (включая Zaful, Rosegal и DressLil). В 2015-м их совокупный объем продаж составил более полумиллиарда долларов, в 2017-м оборот достиг $1,48 миллиарда. Завладев доступом к Kafka, злоумышленники могут вносить изменения в базы данных и даже отключать серверы.

Исследователи пытались связаться с представителями Gearbest и сообщить им о найденных "дырах", но не получили ответа. "К сожалению, наши неоднократные попытки связаться с компанией и рекомендации усилить защиту данных своих пользователей, оказались безуспешными, — сказали vpnMentor. — На момент публикации мы так и не получили ответ". Уязвимости, следует из текста публикации, не закрыты до сих пор.

Gearbest доставляет товары более чем в 250 стран. В магазине представлены электроника (включая устройства под брендом OnePlus), бытовая техника, одежда, аксессуары и товары для дома.

#Китай/КНР
#хакеры
#интернет-магазин
#уязвимости
#утечки
#кибербезопасность
Источник