Хакеры нашли уязвимость на серверах Gearbest: все данные клиентов онлайн-магазина хранятся в открытом виде

Исследователи получили доступ к аккаунтам, истории заказов, платежной информации, паспортным данным и банковским картам покупателей.

Группа исследователей vpnMentor под руководством этичного хакера Ноама Ротема опубликовала отчет об уязвимости базы данных китайского онлайн-магазина Gearbest. В марте 2019 года хакерам удалось получить доступ к 1,5 млн записей в различных частях баз Gearbest - аккаунтов, заказов, платежей и счетов, данные которых лежат в открытом виде.

Gearbest входит в число 250 ведущих мировых веб-сайтов и продает товары не только китайских производителей, но и таких брендов, как Asus, Huawei, Intel и Lenovo. Магазин принадлежит китайской корпорации Globalegrow, которая также управляет Zaful, Rosegal и DressLily. В 2015 году их продажи составили $550 млн; в 2017 году оборот Globalegrow достиг $1,48 млрд.

Что удалось найти vpnMentor

В базе пользователей исследователи нашли личную информацию покупателей, которую могут украсть злоумышленники:

• ФИО и дату рождения;
• Адреса электронной почты и пароли от аккаунтов в открытом виде;
• Полный почтовый и IP-адреса покупателя;
• Номер и серию паспорта покупателя;
• Платежные данные.

Для проверки vpnMentor удалось зайти в две учетные записи покупателей, узнать историю заказов, сменить пароль, получить доступ к личной информации и накопленным баллам.

Электронная почта и пароли в базе данных vpnMentor

Паспортных и других данных из базы Gearbest может хватить, чтобы получить доступ к банковским приложениям, медицинской информации и сайтам типа «Госуслуг», считают исследователи.

Образец записи из базы данных с полной информацией о клиенте vpnMentor

В базе данных, хранящей информацию о счетах и платежах, специалисты vpnMentor нашли прямые URL-ссылки для доступа к виртуальным картам бразильской платежной системы Oxxo и методу оплаты Boleto, которая регулируется Федерацией банков Бразилии.

Образец виртуальной карты Boleta vpnMentor

Также исследователи смогли найти выписки по счетам пользователей, которые содержат все их банковские данные.

В базе данных заказов хранится точное содержание заказа:

• ФИО покупателя и адрес заказа;
• Характеристики товара: цвет, размер, бренд;
• Стоимость товара.

Открытая информация не только нарушает конфиденциальность клиентов, но и может подвергать их опасности в тех странах, где ограничена свобода выражения, считают TechCrunch и VPNMentor. Магазин продает интимные товары, а доступ к личной информации покупателя может привести к юридическим последствиям, если в стране запрещены ЛГБТ- или добрачные отношения.

Пакистанец купил интим-товары. Утечка может раскрыть, не нарушает ли он закон. VPNMentor

Как получили доступ

Команда исследователей во главе с хакером занималась web-сканированием: проверяла блоки IP-адресов, сканировала их на уязвимости, а также проверяла владельцев баз данных. Они обнаружили, что один из серверов баз данных Elasticsearch, которые использует корпорация Globalegrow, не был защищен паролем, и смогли получить доступ к нему через браузер.

Выяснилось, что все базы данных Globalegrow не были защищены и практически не шифровались. Как долго сервер находился в открытом доступе - неизвестно. По информации TechCrunch, базу данных впервые обнаружили 7 марта 2019 года.

Уязвимость на уровне серверов

VPNMentor не только нашли пользовательские данные в открытом виде, но и получили доступ к Kafka - внутренней системе управления данными Globalegrow.

С помощью Kafka хакеры могут полностью манипулировать базами данных корпорации, менять их свойства и полностью отключать сервера. Это может привести к невозможности обработать заказы и серьезным перебоям в работе складов и магазинов.

Политика конфиденциальности и реакция Gearbest

Gearbest заявляет, что компания собирает пользовательские данные для улучшения качества, но шифрует важные данные и использует внешнее ПО для их верификации. На самом деле, большая часть конфиденциальной информации никак не зашифрована, считают специалисты VPNMaster.

VPNMentor

Кроме этого, в базах хранится множество данных, упрощающих идентификацию пользователей, но при этом не требующихся интернет-магазину, например, IP-адреса, говорится в исследовании.

Исследователи несколько раз пытались связаться с представителями Gearbest и Globalegrow, чтобы рассказать о нарушениях, но не получили ответа. Также корпорация не отреагировала на уведомление о публикации исследования и запросы издания TechCrunch.

Чем это может грозить Gearbest и Globalegrow

Интернет-магазин базируется в Китае, но представлен в Европе, имеет склады в Испании, Польше, Чехии и Великобритании, где действуют законы Евросоюза о защите персональных данных и конфиденциальности (GDPR). Любая компания, нарушившая GDPR, может быть оштрафована на сумму до 4% от ее глобального дохода, пишет TechCrunch.

Huawei Intel