Получить доступ к базам данных online-магазина Gearbest может кто угодно

image

Теги: персональные данные, база данных, Gearbest

Исследователи обнаружили в открытом доступе более 1,5 млн записей с персональными данными пользователей сайта Gearbest.

Группа специалистов компании VPNMentor под руководством известного исследователя безопасности Ноама Ротема (Noam Rotem) обнаружила в открытом доступе незащищенные базы данных крупного online-магазина Gearbest.

Сайт Gearbest переведен на 18 языков и продает электронику, бытовую технику, одежду, аксессуары и товары для дома в 250 странах мира, что делает его базы данных настоящей золотой жилой для киберпреступников.

По словам исследователей, им удалось получить доступ к базам данных Gearbest, содержащих порядка 1,5 млн записей. Обнаруженные БД состояли из нескольких частей. В первой хранились имена покупателей, их электронные и почтовые адреса, номера телефонов, информация о приобретенных товарах. Во второй части содержались номера заказов, сведения о типах оплаты, платежные данные, электронные адреса, имена пользователей и IP-адреса. В третьей части хранились имена покупателей, их адреса, даты рождения, номера телефонов, электронные и IP-адреса, паспортные данные и даже пароли для входа в учетные записи.

Соглашаясь с политикой конфиденциальности Gearbest, пользователь соглашается на сбор своих данных в целях улучшения сервиса. Тем не менее, проанализировав данные из БД, исследователи обнаружили информацию, которая никак не может использоваться в вышеупомянутых целях (например, зачем интернет-магазину IP-адреса покупателей?).

Согласно политике конфиденциальности Gearbest, конфиденциальные данные пользователей сайта защищены шифрованием с использованием внешнего ПО для верификации. «Но данные, к которым мы получили доступ, говорят об обратном – мегабайты конфиденциальной информации, в том числе адреса электронной почты и пароли, не были зашифрованы вообще никак», – пишут исследователи, добавив, что некоторые электронные адреса все-таки были зашифрованы.

По словам специалистов, авторизоваться в БД может любой желающий. Кто угодно может получить доступ к истории заказов, к текущим заказам, накопленным бонусным баллам Gearbest и даже поменять пароль и отредактировать личную информацию.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.