Piratai gavo priėjimą prie visų duomenų GearBest vartotojų (Atnaujinta)

Mokslininkų komanda atrado rimtas pažeidžiamumas VPNMentor duomenų bazės internetinėje parduotuvėje GearBest. Pasak ekspertų, apsaugos klientų informavimo sistema yra ne visai tai, ką jie pasakė, išsamiai didelis ataskaita.

Piratai VPNMentor, testas apsauga GearBest, lengvai gavo priėjimą prie klientų vardus, jų pasų duomenys, slaptažodžiai, sąskaitos, adresas pristatymo, elektroninio pašto, fizinis adresas, telefono numeriai, sąrašus daiktų, įsigyti, ir daugelis kitų labai jautri informacija.

Naudojant šiuos duomenis, testeriai galėjo patekti taip pat, jei jie priklauso juos ir daugelyje sąskaitas. tada užpuolikai gali pakeisti visą asmeninę informaciją ir, pavyzdžiui, tiesiog keičiant pristatymo adresą visus užsakymus.

Pralaimėk tiek pirkti arba sąskaitą - iš blogybių mažesnę. Daugiau pavojinga, jei užpuolikas bando naudoti gautą asmeninę informaciją. Rusijoje, šis duomenų rinkinys yra pakankamai gauti prieigą prie svetainių, tokių kaip vyriausybės paslaugų, bankininkystės programų, sveikatos informacijos, ir dar daugiau.

Be šių vartotojų, hakeriai pasiekė GearBest vidaus duomenų valdymo sistemą, o įmonė Globalegrow valdo parduotuvę. Šis prieigos lygis leidžia lengvai manipuliuoti verslo duomenis, pakeisti bazių savybes ir net išjungti serverį visiškai.

Piratai VPNMentor bandė susisiekti atstovai GearBest ir Globalegrow, informuoti juos apie nustatytas problemas. Bet tuo metu, jie jokio atsakymo gavo.

Paskutinis atnaujinimas:

Atstovai GearBest pranešė, kad iš karto po to, kai ataskaita buvo pradėta VPNMentor vidaus peržiūra. Jis parodė, kad pagrindinė duomenų bazė su klientų informaciją ir sandorių yra visiškai apsaugota visą reikalingą šifravimas. Tačiau kai kurie iš konfidencialios informacijos laikinai saugomi išorinių šaltinių, tikrai jis nebuvo apsaugotas.

Išoriniai šaltiniai naudojami duomenims saugoti GearBest padidinti serverio efektyvumą ir užkirsti kelią perkrovos. Bet kokia informacija neišsaugoma ten ilgiau nei 3 dienas, o tada automatiškai ištrinami. Nuo neteisėtos prieigos, tokie duomenys yra saugomi galinga ugniasienė, bet nuo kovo 1, 2019 jie buvo išjungtas per klaidą su viena iš darbuotojų.

Visi užsakymai nuo kovo 1, pertikrinti, ir slaptažodžiai naujai sukurtų sąskaitų išjungtas. Visi vartotojai, kuriems tai gali liesti, išsiuntė laišką, paaiškinantį, situaciją ir sąlygas pakartotinai aktyvuoti savo sąskaitą. GearBest atstovai nuoširdžiai atsiprašyti už incidentą ir patikino, kad jie bus toliau tobulinti savo saugumo sistemą, nepakenkiant klientų duomenis.