Серйозний витік особистих і платежів покупців магазину Gearbest (Оновлено: відповідь магазину)

Оригінал статті від 16.03.2019: Gearbest – це один з всесвітньо відомих інтернет-магазинів, що спеціалізується в основний на продажу китайських товарів. Багато з наших читачів користуються ним для придбання Android смартфонів, планшетів та інших товарів. І якщо ви недавно щось купували тут за допомогою банківської карти, вам варто задуматися про її заміну.

Команда VPNMentor, що стежить за безпекою в Мережі і очолювана Ноамом Ротем опублікувала звіт про порушення безпеки Gearbest.

У цьому звіті повідомляється про те, що вся інформація з основної бази даних магазину, а також баз даних його дочірніх сайтів (включаючи Zaful, Rosegal і DressLily), які містять більше 1,5 мільйонів записів, вільно доступна (без авторизації).

У вільному доступі виявилася така інформація, як електронна пошта, паролі облікових записів, IP-адреси, відомості про дату народження, поштові адреси, платіжні дані і повні імена покупців.

За допомогою цієї інформації членам VPNMentor вдалося вільно увійти в дві облікових записи клієнтів Gearbest і отримати відомості про замовлення. Останнє може виявитися дуже неприємним для тих, хто купував в цьому магазині товари інтимного характеру.

З’ясувалося також, що консоль управління Gearbest була теж доступна для зловмисників, що давало їм можливість легко маніпулювати інформацією на сайті, відключати розділи серверів компанії і навіть управляти операціями на складах Gearbest.

Таким чином, всім покупцям Gearbest варто задуматися, як мінімум, про зміну пароля облікового запису і заміні платіжних карт, що використовувалися для здійснення в ньому покупок, а як максимум – про те, щоб повністю відмовитися від послуг цього магазину.

До нас на електронну пошту прийшов лист з проханням опублікувати заяву Gearbest з приводу ситуації, що склалася, розміщене компанією в своєму блозі.

Ось як воно виглядає (цитата):

«15 березня 2019 року наша команда із захисту даних виявила, що хакер на ім’я Ноам Ротем опублікував на сайті www.vpnmentor.com звіт про те, що бази даних Gearbest з особистими даними клієнтів і даними про транзакції (далі -« Дані ») НЕ захищені належним чином і можуть бути скомпроментіровалі. Так само було проведено дослідження по реакції ЗМІ про ситуації, що склалася.

В той же день, наші експерти з безпеки запустили розслідування за звинуваченнями пана Ноама Ротема, в результаті якого було виявлено, що ряд зовнішніх інструментів для тимчасового зберігання даних міг бути доступний для третіх осіб і міг бути скомпрометований.

Одночасно з цим основна частина даних захищена усіма необхідними заходами безпеки, включаючи багаторівневе шифрування. У зв’язку з цим клієнти Gearbest можуть спокійно продовжувати покупки в нашому інтернет-магазині і активно брати участь в поточній розпродажу.

Дані інструменти призначені для підвищення ефективності і зниження навантаження на основну серверну частину ресурсу. У зв’язку з призначенням, дані сховища використовуються не більше 3 календарних днів, після чого автоматично знищуються.

При чинами можливого порушення безпеки є зняття стандартної захисту тимчасових зовнішніх сховищ одним із співробітників служби безпеки, що відбулися 1 березня 2019 року, що дало можливість сканування даних і доступу до них без подальшої аутентифікації. Причини і факти події встановлюються.

На даний момент встановлено, що в результаті порушення безпеки могла бути порушена конфіденційність даних нових акаунтів (зареєстрованих клієнтів) і дані про замовлення постійних клієнтів в тому випадку, якщо в період з 1 березня 2019 року по 15 березня 2019 року було проведено реєстрацію аккаунта або покупка в інтернет-магазині. В цілому, в незахищеному доступі виявилися дані приблизно 280 000 чоловік.

Порушення було усунуто протягом 2 годин відразу після виявлення.

З огляду на можливі порушення безпеки даних, була проведена додаткова робота щодо посилення ступеня комплексної мережевого захисту, щоб уникнути несанкціонованого доступу, в тому числі при спробах шкідливого сканування з боку третіх осіб.

У зв’язку з тим, що сталося, буде вжито термінових заходів для деактивації паролів нових зареєстрованих клієнтів, щоб уникнути незаконного доступу до облікових записів. Всім постраждалим клієнтам будуть направлені листи з необхідними інструкціями і оновленням даних по ситуації.

Ссылка на основную публикацию