Hakkerit sai pääsyn kaikkiin tietoihin GearBest käyttäjät (Päivitetty)

Tutkimusryhmä havaitsi vakavan haavoittuvuuden VPNMentor tietokannat verkossa tallentaa GearBest. Asiantuntijoiden mukaan suojajärjestelmä asiakastietoja ei ole lainkaan, mitä heille kerrottiin yksityiskohtaisesti suuressa raportti.

Hakkerit VPNMentor, testi suojelua GearBest, helposti pääsivät asiakkaiden nimiä, passinsa tiedot, salasanat, tilit, osoitteita toimitukset, sähköposti, fyysinen osoite, puhelinnumero, luetteloita ostetut, ja monet muut erittäin arkaluontoisia tietoja.

Näiden tietojen avulla, testaajat voisivat tehdä samalla tavalla kuin jos ne omistaa niitä ja useita tilejä. Hyökkääjät voivat sitten muuttaa kaikki henkilökohtaiset tiedot ja esimerkiksi yksinkertaisesti vaihtamalla osoitteen toimitukset kaikista tilauksista.

Lose joten osto- tai tilin - pienempi pahasta. Vaarallisempia jos hyökkääjä yrittää käyttää saatuja henkilötietoja. Venäjällä, tämä joukko tietoja on tarpeeksi päästä kohteisiin, kuten julkiset palvelut, pankki sovelluksia, terveystietoa, ja enemmän.

Näiden lisäksi käyttäjät, hakkerit saavutti GearBest sisäisestä tiedonhallinnasta ja yritykseen Globalegrow omistaa liikkeen. Tämä pääsytaso on helppo manipuloida yrityksen tietoja, muuttaa ominaisuuksia emäksiä ja jopa sammuttaa palvelimen kokonaan.

Hakkerit VPNMentor yrittänyt ottaa yhteyttä edustajia GearBest ja Globalegrow, ilmoittaa heille havaittuihin ongelmiin. Mutta tällä hetkellä niillä ei saatu vastaus.

Päivitys:

Edustajat GearBest kertoi, että heti raportti oli VPNMentor sisäinen tarkastus aloitettiin. Se osoitti, että tärkein tietokanta asiakastietoja ja tapahtumat ovat täysin suojattu kaikki tarvittavat salausta. Kuitenkin jotkut luottamukselliset tiedot tallennetaan tilapäisesti ulkoisista lähteistä, oikeastaan ​​se ei ole suojattu.

Ulkoisia lähteitä tietoja tallennetaan GearBest lisäämiseksi palvelimen tehokkuutta ja ehkäistä ylikuormituksen. Mitään tietoja ei tallenneta sinne yli 3 päivää ja sitten poistetaan automaattisesti. Luvattomalta käytöltä, tällaisia ​​tietoja suojataan tehokas palomuuri, mutta koska 01 maaliskuu 2019 ne sammuivat erehdyksessä yhden työntekijän.

Kaikki tilaukset 1. maaliskuuta tarkistetaan, ja salasanat uudet tilit käytöstä. Kaikki käyttäjät, joille se voisi koskea, lähetti selvitti tilanteen ja olosuhteiden uudelleen aktivoida tilisi. GearBest edustajia vilpittömästi anteeksi tapahtuneesta ja varmistaa, että ne edelleen parantaa sen turvajärjestelmä, vaarantamatta asiakastietoja.