Izvještaj – Gearbest Hack: Stotine tisuća ljudi svakodnevno su pogođene ogromnim kršenjem podataka

Vodio ga je Noam Rotem, poznati haker i bijeli aktivist, Istraživački tim VPNMentora otkrio je veliku narušavanje sigurnosti u Gearbestu. 

Sa stotinama tisuća prodaja svaki dan, Gearbest je vrlo uspješna kineska tvrtka za e-trgovinu.

Web-lokacija prodaje niz elektronike i uređaja, kao i odjeće, dodataka i kućnog pribora. Dok je prodaje neke međunarodno poznate marke poput OnePlusa, većina je manjih kineskih marki.

Dostavlja se u više od 250 zemalja i teritorija širom svijeta, i nalazi se u prvih 100 web lokacija u gotovo 30% ovih regija. Gearbest ima poddomene na 18 jezika, što generira globalnu privlačnost.

Gearbest je u vlasništvu kineskog konglomerata, Globalegrow. Roditelj tvrtka upravlja s nekoliko međunarodno uspješnih web mjesta, uključujući Zaful, Rosegal i DressLily. U 2015. godini njihova prodaja dosegla je 550 milijuna dolara; U 2023. godini tvrtka je proslavila 1,48 milijardi dolara prometa.

Uspjeh tvrtke trijumf je za Gearbest i njegove sestrinske tvrtke. Međutim, to je nisu tako sjajne vijesti za korisnike web lokacija.

vpnMentor to može ekskluzivno otkriti Gearbest-ova baza podataka u potpunosti nije osigurana – kao i ona koja pripadaju njenim sestrinskim društvima.

Kršenje podataka Gearbest-a

Naši hakeri mogli su pristupiti različitim dijelovima Gearbest-ove baze podataka, uključujući:

  • Baza naloga
    Podaci uključuju kupljene proizvode; adresa za dostavu i poštanski broj; Ime kupca; email adresa; broj telefona
  • Baza podataka o plaćanjima i fakturama
    Podaci uključuju broj narudžbe; Način plaćanja; Informacije o plaćanju; email adresa; Ime; IP adresa
  • Članovi baze podataka
    Podaci uključuju ime; adresa; Datum rođenja; broj telefona; email adresa; IP adresa; podatke o osobnoj iskaznici i putovnici; lozinke računa

Pristupili smo tim bazama u ožujku 2023. i otkrili 1,5+ milijuna zapisa.

Gearbest-ova baza podataka nije samo nezaštićena. Omogućuje potencijalno zlobnim agentima neprekidno ažuriranu opskrbu svježim podacima.

Sigurnosni problemi

Osim što možemo pristupiti cjelovitim nizima osobnih podataka za milijune korisnika, kršenje Gearbest-ovih podataka postavlja još nekoliko vrlo ozbiljnih problema.

Privatnost korisnika

U pravilima o privatnosti Gearbest-a stoji da to rade skupljati podatke o korisnicima, to je s fokusiranom svrhom opsluživanja svojih kupaca.

Pravila o privatnosti također određuju da, iako su korisnici odgovorni za svoje lozinke, oni šifriranje osjetljivih podataka i koristiti softver za vanjsku provjeru za zaštitu kupaca.

Podaci viđeni kao rezultat ovog haka otkrivaju da to nije istina. Vidjeli smo puno osjetljivih podataka – uključujući adrese e-pošte i zaporke – koji su bili u potpunosti nešifrirani.

Uz to, baza podataka sadrži velike količine osobnih podataka što nije potrebno prilikom ispunjavanja dužnosti trgovine e-trgovine. Na primjer, adresa za dostavu presudna je za ispunjavanje narudžbi. IP adresa nije.

Ovo je posebno zabrinjavajuće s obzirom na trenutni trend otvorenijeg i poštenijeg interneta. Pružatelji usluga u više djelatnosti, u rasponu od CyberGhost VPN-a do Walmarta (obojica su nedavno objavila izvješća o transparentnosti), nastojati povećati transparentnost za svoje kupce. S druge strane, sjenovite prakse Gearbestova rade obrnuto.

Čini se da Gearbest krši njihove vlastite politike o privatnosti. Međutim, ovo ovdje nije najvažniji rizik za privatnost korisnika.

Sigurnost korisnika

Otvorena baza podataka ispunjena osobnim podacima može ugroziti sigurnost korisnika na mreži. Zapisi koje smo vidjeli pokazuju puni setovi nekodiranih podataka, uključujući adrese e-pošte i zaporke.

(Vrijedno je napomenuti da su neke adrese e-pošte sadržavale neke hashlove. Ne znamo je li to bilo namjerno i trebalo bi se pojaviti svugdje ili su se neki njihovi podaci oštetili. Naši hakeri smatraju da je to bila djelomično provedena sigurnosna mjera koja je jednostavno ne radeći svoj posao.)

Snimka zaslona u nastavku prikazuje isječke iz dva skupa korisničkih podataka koje smo prikupili iz baze podataka.

Na ova dva Gearbest računa uspjeli smo se prijaviti i upravljati njima kao da smo mi korisnici. Mogli smo vidjeti trenutne i prošle narudžbe, sakupili Gearbest bodove i promijenili lozinku i detalje računa.

Hakeri bi mogli upotrijebiti ove podatke za stvaranje “lokalne” štete: pristupom korisničkim računima pomoću e-pošte i zaporke mogu mijenjati korisničke narudžbe, manipulirati podacima o računu i trošiti novac iz spremljenih načina plaćanja.

Međutim, i ove bi se informacije mogle upotrijebiti na daleko zlobniji način. Unapređenjem različitih baza podataka, hakeri bi lako mogli ukrasti identitete kupaca tvrtke Gearbest.

Kao što se vidi u nastavku, baza članova uključuje IP adresu ovog korisnika, punu poštansku adresu, e-adresu, datum rođenja i, što je najviše zabrinjavajuće, njihov nacionalni identifikacijski broj.

Ovisno o državi i zahtjevima, to bi moglo biti dovoljno informacija da se hakeri daju pristup internetskim vladinim portalima, bankarskim aplikacijama, evidencijama zdravstvenog osiguranja, i više.

Pojedinosti o plaćanju

Ispitujući bazu podataka o plaćanjima i fakturama, primijetili smo da se izraz “Boleto” pojavio više puta, isključivo u odnosu na brazilske narudžbe (Brazil čini 9,2% globalnog prometa Gearbesta).

Odnosi se na Boleto Bancario (doslovno, “bankovna karta”), a način plaćanja koji regulira Brazilska federacija banaka.

Slično je s Oxxo platnim sustavom koji se koristi u Meksiku. OXXO korisnicima omogućuje izradu vaučera koji funkcionira poput debitne kartice: korisnici učitavaju količinu koju odaberu i mogu potrošiti ono što je dostupno. Svaki vaučer sadrži jedinstveni bar kod; ovo korisnicima omogućuje pristup njihovom novcu.

U bazi podataka kojoj smo pristupili, plaćanja izvršena bilo kojom od ovih metoda uključuju URL za “ebanx”. Ove veze prikazuju korištene aktivne bonove, zajedno s njihovim novčanim iznosima. Podaci također uključuje jedinstvene crtične brojeve bonova Oxxo i Boleto; ove informacije omogućuju hakerima da djeluju kao korisnici. Također bismo mogli pristupiti primanjima kupaca, zajedno s njihovim bankarskim podacima.

Detalji narudžbe: Skandal sa seksom igračaka

vidljiv je točan sadržaj narudžbi ljudi u bazi narudžbi. Točna marka, boja, veličina i cijena svakog predmeta mogu se pregledati, zajedno s korisničkim imenom i adresom za dostavu.

U usporedbi s drugim informacijama dostupnim u tim nezaštićenim bazama podataka, to se ne čini posebno šokantnim. Međutim sadržaj narudžbi nekih ljudi pokazao se vrlo otkrivenim – a u nekim slučajevima čak i opasne po život.

Skriveno u odjeljku “Prodaja” Gearbestove kategorije “Odjeća”, korisnici mogu pronaći ogroman niz seksualnih igračaka. Priroda otvorene baze podataka trgovine znači da bi detalji vaših privatnih kupovina mogli brzo postati javno poznati.

Za mnoge odrasle ljude širom svijeta kupovina seksualnih igračaka nije problematična. Na primjer, narudžbe prikazane na donjoj slici pripadaju ljudima u Brazilu i Grčkoj.

Te zemlje imaju vrlo permisivne zakone koji se tiču ​​seksualnosti i homoseksualnosti. Za kontekst, Brazil je domaćin najveće svjetske parade ponosa, a istospolne veze u Grčkoj su zakonite od 1951. Iako sadržaj takvih naloga može biti neugodan za kupca, objavljivanje takvih podataka ne bi moglo rezultirati pravnim posljedicama.

Međutim, to svugdje nije slučaj. Tijekom pregleda baze podataka, naišli smo na podatke o narudžbi za muškog pakistanskog korisnika.

Ovaj kupac je kupio silikonski dildo; u stvari, daljnja inspekcija baze podataka pokazuje da je on zapravo kupio tri. Svaka kupovina uključuje malo drugačije podatke, zbog čega se adresa slike ne pojavljuje na gornjoj slici.

Pakistan ne uživa isti liberalni stav prema seksualnosti koji mnoge zapadne zemlje uzimaju zdravo za gotovo.

Zemlja je strogi zakoni propisuju da su preljuba i predbračni seks kaznena djela kažnjiva kaznom zatvora i novčanom kaznom. Vjerski zakoni te zemlje također omogućavaju smrt kamenovanjem ili tjelesnim kaznama.

LGBT prava su ograničena i primjenjuju se iste kazne. LGBT zajednica trpi i socijalnu stigmu, nedostatak pravne zaštite i islamizirano društvo što sprečava prihvaćanje LGBT osoba.

Također vrijedi napomenuti da je kulturološki malo vjerovatno da je kupac kupio ovo za ženu svog kupca.

Ovim zakonima naš pakistanski kupac predstavlja sjajan primjer zašto je Gearbest-ova otvorena baza podataka tako opasna. Jednostavna pretraga dala nam je puno ime, adresu e-pošte, uličnu i IP adresu. Detaljnija pretraga vjerojatno bi nam mogla pokazati njegov datum rođenja i lozinku računa, omogućujući nam da vidimo njegove podatke o prethodnom nalogu.

Nismo zlonamjerni i dijelimo ovim (visoko cenzuriranim) informacijama istaknite opasnosti ove otvorene baze podataka. Drugi mogu imati vrlo različite namjere. U rukama pakistanske vlade, ove informacije mogu značiti doslovnu smrtnu kaznu za ovog korisnika.

Kako Gearbest nanosi štetu sebi

Gearbest otkriva podatke o milijunima korisnika. Međutim, tvrtka također nanosi štetu.

Indeksi koje su naši hakeri otkrili nisu samo za njihove korisničke baze podataka. Uključili su i pristup URL sustavu Gearbest – i Globalegrow – Kafke.

Kafka je program za upravljanje podacima koji velikim korporacijama pomaže u kontroli količine podataka o web lokaciji poslanih putem svakog od njihovih poslužitelja. To služi u dvije svrhe: sprječava preopterećenje poslužitelja i održava učinkovitost, a tvrtkama omogućuje prikupljanje velikih podataka.

Ova vrsta pristupa omogućuje zlonamjernim hakerima da manipuliraju informacijama, ponovno dodijeliti svojstva baze podataka, pa čak i onemogućiti cijele odjeljke poslužitelja tvrtke. Ovisno o funkciji svakog poslužitelja, to može poremetiti prikupljanje podataka, postavljanje narudžbi i upravljanje zalihama i skladištima.

Etičko hakiranje

Otkrili smo ovo kršenje kao dio ankete projekt etičkog hakiranja. Noam Rotem, poznati aktivist i haker s bijelim šeširima, zajedno s Ranom L. i njihovim timom, pokreće projekt web skeniranja koji ispituje IP blokove i rupe u sustavima radi propuštanja podataka.

Provjerili su vlasnici baze podataka stvaranje, unos i identifikacija podataka.

Otkrili su da je Globalegrow cijela je baza podataka nezaštićena i uglavnom je nekodirana. Tvrtka koristi bazu podataka Elasticsearch koja obično nije dizajnirana za upotrebu URL-a. Međutim, mogli smo mu pristupiti putem preglednika i manipulirati kriterijima za pretraživanje URL-a da bismo u bilo kojem trenutku otkrili do 10 000 shema iz jednog indeksa.

Kao etični hakeri mi smo dužni doći do web mjesta kada otkrijemo nedostatke u sigurnosti. Ovo je posebno istinito kada kršenje podataka tvrtke utječe na toliko mnogo ljudi – a u slučaju Gearbesta, ovaj problem utječe na stotine tisuća ljudi svaki dan.

Međutim, ova etika također znači da imamo i odgovornost prema javnosti. Kupci Gearbest-a trebaju biti svjesni rizika koje uzimaju prilikom korištenja web stranice koja ne čini napor da zaštiti svoje korisnike.

Više puta kontaktirali smo i Gearbest i Globalegrow da ih obavijestimo o tom kršenju i da im dopustimo kada objavljujemo ovaj članak. Imali su nekoliko dana obavijesti. Nažalost, naši opetovani pokušaji da od tih kompanija tražimo da pojačaju i zaštite svoje korisnike nisu bili uspješni. U trenutku objave tek smo trebali dobiti odgovor.

Prošla izvješća

Nedavno smo to otkrili Dalil je doživio veliko kršenje podataka. Dalil je najveća aplikacija telefonskih imenika Saudijske Arabije, a povreda je zahvatila više od 5 milijuna korisnika. Možda ćete htjeti pročitati i naše izvješće o lažnim aplikacijama koje se u Iranu koriste za praćenje korisnika, izvještaj o curenju putem VPN-a i izvještaj o statistikama o privatnosti podataka..

Molimo podijelite ovo izvješće na Facebooku ili ga tvitovite.