База пользователей Gearbest в открытом доступе
Группа этичных хакеров под руководством Noam Rotem обнаружила серьезную уязвимость базы данных интернет-магазина earbest.
Gearbest – китайская компания, функционирующая по принципам интернет-магазина. Основная специализация — электроника и иная техника. Ежемесячно посредством Gearbest совершается несколько сотен тысяч покупок. Компания доставляет товары по большинству стран. В том числе и в Россию.
В итоге исследования хакеры VPNmentor обнаружили:
- Базу заказов. С данными кто покупал (имя+id+IP), адресами доставки и видами товарных позиций, номеров телефонов и email покупателей;
- Базу платежей, включающую в себя дублирующие данные + вид оплаты + платежные данные;
- Базу пользователей, содержащую также помимо ФИО, email, телефона — данные о дате рождения и паспортные данные заказчиков.
Доступ к базе был получен в марте 2019 года. Итого удалось собрать свыше полутора миллиона записей.
К сожалению, данная уязвимость не только нарушает приватность и конфиденциальность пользователей, но и дает возможность использования аккаунта покупателя третьим лицом, так как пароли хранятся также в незашифрованном виде.
Вернемся к базе данных: записи о платежах, выполненных таким образом, содержат поле с URL, которое называется “ebanx”( для пользователей из Бразилии). Если перейти по соответствующим ссылкам, то можно получить доступ к этим картам! Да-да, в том числе к деньгам, хранящимся на них. Все верно, в этой базе данных есть уникальные защитные коды карт Oxxo и Boleto,зная которые, хакерам не составит труда по-своему распорядиться чужими деньгами. Также мы смогли получить доступ к выпискам по счетам пользователей, а эти документы, как вы понимаете, содержат все банковские данные пользователей.
Так как данные о том что заказывал пользователи, их ФИО и адреса доставки известны — можно явно идентифицировать пользователя.
Конечно, взрослые люди из самых разных стран мира не видят ничего дурного в том, чтобы приобрести себе что-нибудь эдакое. Вот, например, заказы пользователей из Бразилии и Греции
Также в базе исследователи и более интересные заказы.
Так, мы нашли в этой базе данных заказ, сделанный проживающим в Пакистане мужчиной. Он купил силиконовый дилдо — точнее сказать, целых три. Для каждой покупки он вводил разные данные, вот почему на скриншоте выше адрес показан лишь очень частично. Пакистан с куда меньшим либерализмом относится к сексуальности. То, что для жителей западных стран считается чем-то естественным, в Пакистане вполне может быть под запретом.
Поэтому, если вы заботитесь об информационной безопасности, своей приватности и не желаете показывать всем свои предпочтения, рекомендуем подходить аккуратнее к своим интернет покупкам.