Raziskovalna skupina VPNMentor je odkrila resno ranljivost v podatkovnih bazah spletne trgovine GearBest. Po mnenju strokovnjakov sistem zaščite podatkov o strankah v celoti manjka, kot so podrobno opisali v velikem poročilu.
Hakerji VPNMentorja, ki so preizkusili zaščito GearBest, imajo lahko dostop do imen strank, podatkov o potnih listih, gesel za račun, naslovov za dostavo, e-pošte, fizičnega naslova, telefonskih številk, seznamov kupljenih predmetov in mnogih drugih popolnoma zaupnih informacij.
S pomočjo teh podatkov so se preizkuševalci lahko prijavili na več računov na enak način, kot če bi jih imeli v lasti. Napadalci lahko v tem primeru spremenijo vse osebne podatke in na primer preprosto spremenijo naslove pošiljk na vsa vaša naročila.
Izguba nakupa na ta način ali celo račun je manjše zlo. Veliko bolj nevarno, če napadalci poskušajo uporabiti pridobljene osebne podatke. V Rusiji je ta sklop informacij dovolj za dostop do spletnih mest, kot so državne storitve, bančne aplikacije, medicinski podatki in drugo.
Poleg teh uporabnikov so hekerji dobili tudi GearBestov notranji sistem za upravljanje podatkov in Globalegrow, ki je lastnik trgovine. Ta raven dostopa vam omogoča preprosto manipuliranje komercialnih informacij, spreminjanje lastnosti baze podatkov in celo popolno onemogočanje strežnikov.
Hekerji VPNMentor so poskušali stopiti v stik s predstavniki podjetja GearBest in Globalegrow, da bi jih obvestili o ugotovljenih težavah. Toda v tem trenutku še niso prejeli odgovora.
Posodobi:
Predstavniki podjetja GearBest so povedali, da se je takoj po prejemu poročila VPNMentorja začelo notranje preverjanje. Pokazala je, da je glavna podatkovna baza z informacijami o strankah in transakcijah popolnoma zaščitena z vsemi potrebnimi orodji za šifriranje. Vendar pa nekatere zaupne informacije, ki so začasno shranjene na zunanjih virih, niso bile dejansko zaščitene.
Zunanje vire za shranjevanje podatkov uporablja GearBest za povečanje učinkovitosti strežnika in preprečevanje njihove preobremenitve. Vsi podatki se tam ne shranjujejo več kot 3 koledarske dni, potem pa se samodejno uničijo. Od nepooblaščenega dostopa so taki podatki zaščiteni z močnimi požarnimi zidovi, vendar jih je 1. marca 2019 napačno onemogočil eden od zaposlenih.
Vsa naročila od 1. marca so ponovno preverjena in gesla novo ustvarjenih računov so deaktivirana. Vsem uporabnikom, ki bi lahko bili prizadeti, so poslali pisma, v katerih so razložili stanje in pogoje za ponovno aktivacijo računa. Predstavniki podjetja GearBest se iskreno opravičujejo za to, kar se je zgodilo, in vztrajajo, da bodo še naprej izboljševali svoj varnostni sistem brez ogrožanja podatkov o strankah.
