База пользователей Gearbest в открытом доступе

Исследователи по безопасности обнаружили свыше полутора миллиона записей о пользователях Gearbest в публичном доступе. В базе содержались также и персональные данные в необезличенном виде.

Группа этичных хакеров под руководством Noam Rotem обнаружила серьезную уязвимость базы данных интернет-магазина Gearbest.

Gearbest — китайская компания, функционирующая по принципам интернет-магазина. Основная специализация — электроника и иная техника. Ежемесячно посредством Gearbest совершается несколько сотен тысяч покупок. Компания доставляет товары по большинству стран. В том числе и в Россию.

В итоге исследования хакеры VPNmentor обнаружили:

  • Базу заказов. С данными кто покупал (имя+id+IP), адресами доставки и видами товарных позиций, номеров телефонов и email покупателей.
  • Базу платежей, включающую в себя дублирующие данные + вид оплаты+ платежные данные.
  • Базу пользователей, содержащую также помимо ФИО, email, телефона — данные о дате рождения и паспортные данные заказчиков.

Доступ к базе был получен в марте 2019 года. Итого удалось собрать свыше полутора миллиона записей.

К сожалению, данная уязвимость не только нарушает приватность и конфиденциальность пользователей, но и дает возможность использования аккаунта покупателя третьим лицом, так как пароли хранятся также в незашифрованном виде.

«Вернемся к базе данных: записи о платежах, выполненных таким образом, содержат поле с URL, которое называется “ebanx”( для пользователей из Бразилии). Если перейти по соответствующим ссылкам, то можно получить доступ к этим картам! Да-да, в том числе к деньгам, хранящимся на них. Все верно, в этой базе данных есть уникальные защитные коды карт Oxxo и Boleto, зная которые, хакерам не составит труда по-своему распорядиться чужими деньгами. Также мы смогли получить доступ к выпискам по счетам пользователей, а эти документы, как вы понимаете, содержат все банковские данные пользователей».

Так как данные о том что заказывал пользователи, их ФИО и адреса доставки известны — можно явно идентифицировать пользователя.

«Конечно, взрослые люди из самых разных стран мира не видят ничего дурного в том, чтобы приобрести себе что-нибудь эдакое. Вот, например, заказы пользователей из Бразилии и Греции».

Также в базе исследователи и более интересные заказы.

«Так, мы нашли в этой базе данных заказ, сделанный проживающим в Пакистане мужчиной. Он купил силиконовый дилдо — точнее сказать, целых три. Для каждой покупки он вводил разные данные, вот почему на скриншоте выше адрес показан лишь очень частично. Пакистан с куда меньшим либерализмом относится к сексуальности. То, что для жителей западных стран считается чем-то естественным, в Пакистане вполне может быть под запретом.

Поэтому, если вы заботитесь об информационной безопасности, своей приватности и не желаете показывать всем свои предпочтения, рекомендуем подходить аккуратнее к своим интернет покупкам.