Активисты группы vpnMentor во главе с этическим хакером Ноамом Ротем нашли уязвимости в базе данных одного из крупнейших интернет-магазинов Китая GearBest. Свое исследование они подробно описали и опубликовали на сайте.
Всего хакеры получили более 1,5 млн записей, среди которых базы заказов, пользователей, платежей и счетов. В их число вошли следующие данные:
- ФИО и дата рождения.
- Электронный адрес и пароль от аккаунта.
- Номер и серия паспорта.
- Почтовый адрес и IP.
- Платежные данные.
Для демонстрации возможностей хакеры вошли в один из аккаунтов, получили доступ к истории платежей и изменили пароль.
Проблема оказалась в сервере баз данных Elasticsearch, который использует корпорация Globalegrow. Он не был защищен паролем, что позволило не только просмотреть всю информацию, но и получить доступ к внутренней системы управления данными.
Представители GearBest пока проблему не признали и утверждают, что все секретные данные хранятся в зашифрованном виде. По закону о защите персональных данных и конфиденциальности (GDPR) Евросоюза компания может быть оштрафована на сумму до 4 процентов от ее глобального дохода.
GearBest входит в число 250 крупнейших мировых онлайн-площадок. В 2015 году продажи составили 550 млн долларов, в 2017 году оборот холдинга достиг 1,48 млрд долларов.
