Poročilo – Gearbest Hack: Stotine tisočev, ki jih vsak dan prizadene ogromna kršitev podatkov


Vodil ga je Noam Rotem, znani heker in aktivist, Raziskovalna skupina VPNMentorja je odkrila veliko kršitev varnosti v Gearbestu. 

Z več sto tisoč prodajami vsak dan, Gearbest je zelo uspešno kitajsko podjetje za e-trgovino.

Spletno mesto prodaja vrsto elektronike in naprav, pa tudi oblačil, dodatkov in izdelkov za dom. Medtem ko prodaja nekatere mednarodno znane blagovne znamke kot OnePlus, je večina manjših kitajskih blagovnih znamk.

Pošilja se v več kot 250 držav in ozemelj po vsem svetu ter se je v skoraj 30% teh regij uvrstil med sto najboljših spletnih mest. Gearbest ima poddomene v 18 jezikih, kar ustvarja globalno privlačnost.

Gearbest je v lasti kitajskega konglomerata Globalegrow. Starš podjetje upravlja več mednarodno uspešnih spletnih mest, vključno z Zaful, Rosegal in DressLily. Leta 2015 je njihova prodaja dosegla 550 milijonov dolarjev; V letu 2017 je podjetje slavilo 1,48 milijarde USD prometa.

Uspeh podjetja je zmaga za Gearbest in njegova sestrska podjetja. Vendar pa je niso tako odlične novice za stranke spletnih mest.

vpnMentor lahko to ekskluzivno razkrije Baza podatkov Gearbesta ni popolnoma nezavarovana - prav tako tudi podjetja, ki pripadajo njenim sestrskim družbam.

Kršitev podatkov Gearbest

Naši hekerji bi lahko dostopali do različnih delov baze Gearbest, vključno z:

  • Baza naročil
    Podatki vključujejo kupljene izdelke; naslov in poštna številka; Ime stranke; email naslov; telefonska številka
  • Baza plačil in računov
    Podatki vključujejo številko naročila; način plačila; Informacije o plačilu; email naslov; ime; IP naslov
  • Baza članov
    Podatki vključujejo ime; naslov; datum rojstva; telefonska številka; email naslov; IP naslov; podatke o osebni izkaznici in potnem listu; gesla za račun

Do teh baz smo dostopali marca 2019 in odkrili 1,5+ milijonov zapisov.

Baza podatkov Gearbesta ni samo nezavarovana. Ponuja tudi potencialno zlonamernim agentom, ki stalno posodabljajo sveže podatke.

Varnostna vprašanja

Poleg naše zmožnosti dostopa do popolnih nizov osebno prepoznavnih informacij za milijone uporabnikov, kršitev Gearbest-ovih podatkov sproža še nekaj zelo resnih vprašanj.

Zasebnost uporabnika

V pravilniku o zasebnosti Gearbest-a je navedeno, da to počnejo zbirati podatke o uporabnikih, je z osredotočenim namenom, da služi svojim strankam.

Poročilo - Gearbest Hack: Stotine tisočev, ki jih vsak dan prizadene ogromna kršitev podatkov

Pravilnik o zasebnosti določa tudi, da so uporabniki odgovorni za svoja gesla, vendar pa tudi oni šifriranje občutljivih informacij in uporabljajo programsko opremo za zunanje preverjanje za zaščito strank.

Poročilo - Gearbest Hack: Stotine tisočev, ki jih vsak dan prizadene ogromna kršitev podatkov

Podatki, ki so bili prikazani kot rezultat tega kraje, kažejo, da to ni resnično. Videli smo veliko občutljivih informacij - vključno z e-poštnimi naslovi in ​​gesli -, ki so bili popolnoma šifrirani.

Poleg tega zbirka podatkov vsebuje velike količine osebno prepoznavnih podatkov kar ni potrebno pri izpolnjevanju nalog trgovine za e-trgovino. Na primer, naslov za pošiljanje je ključnega pomena za izpolnjevanje naročil. IP naslov ni.

To je še posebej zaskrbljujoče glede na trenutni trend bolj odprtega in poštenega interneta. Ponudniki storitev v različnih panogah, od CyberGhost VPN do Walmart (oba sta pred kratkim objavila poročila o preglednosti), si prizadevajo za večjo preglednost za svoje stranke. Senčne prakse Gearbesta naredijo nasprotno.

Zdi se, da Gearbest krši lastno politiko zasebnosti. Vendar to ni najpomembnejše tveganje za zasebnost uporabnikov.

Varnost uporabnika

Odprta baza podatkov, napolnjena z osebnimi podatki, lahko ogrozi varnost uporabnikov na spletu. Zapisi, ki smo jih videli, kažejo celoten niz nekodiranih podatkov, vključno z e-poštnimi naslovi in ​​gesli.

(Omeniti velja, da so nekateri e-poštni naslovi vsebovali nekaj razpršitve. Ne vemo, ali je bilo to namerno in bi se morali pojavljati povsod ali če so se nekateri njihovi podatki poškodovali. Naši hekerji menijo, da je šlo za delno izveden varnostni ukrep, ki je preprosto ne opravlja svojega dela.)

Spodnji posnetek zaslona prikazuje odrezke iz dveh nabora uporabniških podatkov, ki smo jih pridobili iz baze podatkov.

Poročilo - Gearbest Hack: Stotine tisočev, ki jih vsak dan prizadene ogromna kršitev podatkovV ta dva računa Gearbest smo se lahko prijavili in jih upravljamo, kot da smo uporabniki. Ogledali smo si lahko trenutna in pretekla naročila, nabrali Gearbest točke in spremenili geslo in podrobnosti računa.

Hekerji bi lahko te podatke uporabili za ustvarjanje "lokalne" škode: z dostopom do uporabniških računov s svojo e-pošto in geslom lahko spreminjajo uporabniška naročila, manipulirajo s podatki o računu in porabijo denar iz shranjenih načinov plačila.

Vendar bi te podatke lahko uporabili tudi na veliko bolj zlovešč način. S križanjem različnih baz podatkov, hekerji bi lahko zlahka ukradli identitete strank Gearbesta.

Kot je razvidno spodaj, baza članov vključuje IP-naslov tega uporabnika, polni poštni naslov, e-poštni naslov, datum rojstva in, kar je najbolj zaskrbljujoče, njihovo nacionalno identifikacijsko številko.

Poročilo - Gearbest Hack: Stotine tisočev, ki jih vsak dan prizadene ogromna kršitev podatkov

To bi lahko bilo dovolj informacij glede na državo in zahteve hekerjem dostop do spletnih vladnih portalov, bančnih aplikacij, evidenc zdravstvenega zavarovanja, in več.

Podatki o plačilu

Ko smo preučili bazo podatkov o plačilih in računih, smo opazili, da se je izraz Boleto pojavil večkrat, izključno v zvezi z brazilskimi naročili (Brazilija predstavlja 9,2% globalnega prometa Gearbesta).

Nanaša se na Boleto Bancario (dobesedno „bančna vozovnica“), a način plačila, ki ga ureja Brazilska zveza bank.

Podobno je s plačilnim sistemom Oxxo, ki se uporablja v Mehiki. Oxxo uporabnikom omogoča ustvarjanje bona, ki deluje kot debetna kartica: uporabniki naložijo želeno količino in porabijo tisto, kar je na voljo. Vsak bon vsebuje edinstveno črtno kodo; to uporabnikom omogoča dostop do svojega denarja.

Poročilo - Gearbest Hack: Stotine tisočev, ki jih vsak dan prizadene ogromna kršitev podatkov

V bazi podatkov, do katere smo dostopali, plačila, izvedena po kateri koli od teh metod, vključujejo URL za "ebanx". Te povezave prikazujejo uporabljene aktivne bone, skupaj z njihovimi denarnimi zneski. Tudi podatki vključuje edinstvene črtne kode kuponov Oxxo in Boleto; ti podatki hekerjem omogočajo, da delujejo kot uporabniki. Dostopili smo lahko tudi do prejemkov strank, skupaj z njihovimi bančnimi podatki.

Poročilo - Gearbest Hack: Stotine tisočev, ki jih vsak dan prizadene ogromna kršitev podatkov

Podrobnosti o naročilu: Škandal s spolnimi igračami

The vidna je natančna vsebina naročil ljudi v bazi naročil. Točno znamko, barvo, velikost in stroške vsakega izdelka si lahko ogledate, skupaj z uporabniškim imenom in naslovom za dostavo.

V primerjavi z drugimi informacijami, ki so na voljo v teh nezaščitenih bazah podatkov, se to ne zdi posebej šokantno. Vendar pa vsebina naročil nekaterih ljudi se je izkazala za zelo razkrivajočo - v nekaterih primerih celo smrtno nevarne.

Skrita v razdelku »Prodaja« kategorije Gearbest »Oblačila«, uporabniki lahko najdejo ogromno paleto seks igrač. Narava odprte baze podatkov trgovine pomeni, da lahko podrobnosti o vaših zasebnih nakupih hitro postanejo javno znane.

Za številne odrasle po vsem svetu nakup seksualnih igrač ni problematičen. Na primer, naročila, prikazana na spodnji sliki, pripadajo ljudem v Braziliji in Grčiji.

Poročilo - Gearbest Hack: Stotine tisočev, ki jih vsak dan prizadene ogromna kršitev podatkov

Te države imajo zelo dopustne zakone glede spolnosti in homoseksualnosti. V ozadju je Brazilija gostitelj največje svetovne parade ponosa in istospolna razmerja so v Grčiji zakonita od leta 1951. Čeprav je vsebina takšnih naročil za kupca neprijetna, objava takšnih informacij ne bi mogla povzročiti pravnih posledic.

Vendar pa povsod ne gre tako. Med pregledovanjem baze smo naleteli na podatke o naročilu za moškega pakistanskega uporabnika.

Poročilo - Gearbest Hack: Stotine tisočev, ki jih vsak dan prizadene ogromna kršitev podatkov

Ta stranka je kupila silikonski dildo; pravzaprav nadaljnji pregled baze podatkov kaže, da je dejansko kupil tri. Vsak nakup vključuje nekoliko drugačne podatke, zato se na zgornji sliki ne pojavi naslov ulice.

Pakistan nima enakega liberalnega odnosa do spolnosti, kot ga številne zahodne države jemljejo kot samoumevne.

Država je strogi zakoni določajo, da sta prešuštvo in predporočni seks kazniva dejanja se kaznuje z zaporom in denarno kaznijo. Državni verski zakoni dopuščajo tudi smrt z kamenjanjem ali telesnimi kaznimi.

Pravice LGBT so omejene in veljajo enake kazni. Skupnost LGBT trpi tudi socialno stigmo, pomanjkanje pravne zaščite in islamizirano družbo, ki preprečuje sprejemanje LGBT oseb.

Vredno je tudi poudariti, da je kulturno malo verjetno, da je kupec to nakup opravil za ženo svojega kupca.

Zaradi teh zakonov je naš pakistanski prodajalec odličen primer, zakaj je odprta baza podatkov Gearbesta tako nevarna. Preprosto iskanje nam je dalo njegovo polno ime, e-poštni naslov, ulični naslov in IP naslov. Podrobnejše iskanje bi nam verjetno lahko pokazalo njegov datum rojstva in geslo računa, s čimer bi lahko videli njegove podatke o prejšnjem naročilu.

Nismo zlonamerni in tem (zelo cenzuriranim) informacijam delimo izpostavite nevarnosti te odprte baze podatkov. Drugi imajo lahko zelo različne namene. V rokah pakistanske vlade bi te informacije lahko pomenile dobesedno smrtno obsodbo za tega uporabnika.

Kako Gearbest škoduje sebi

Gearbest razkriva podatke o milijonih uporabnikov. Vendar pa, podjetje tudi škodi sebi.

Indeksi, ki so jih naši hekerji odkrili, niso samo za njihove uporabniške baze podatkov. Vključili so tudi dostop do URL-ja do sistema Kafka Gearbest-a in Globalegrow-a.

Kafka je program za upravljanje podatkov, ki velikim korporacijam pomaga nadzorovati količino podatkov na spletnem mestu, poslane preko vsakega od njihovih strežnikov. To ima dva namena: preprečuje preobremenitev strežnika in ohranja učinkovitost ter podjetjem omogoča zbiranje velikih podatkov.

Poročilo - Gearbest Hack: Stotine tisočev, ki jih vsak dan prizadene ogromna kršitev podatkov

Ta vrsta dostopa omogoča zlonamernim hekerjem manipulacijo z informacijami, prerazporedite lastnosti baz podatkov in celo onemogočite celotne odseke strežnika podjetja. Glede na funkcijo vsakega strežnika lahko to moti zbiranje podatkov, oddajo naročil ter upravljanje zalog in skladišč.

Poročilo - Gearbest Hack: Stotine tisočev, ki jih vsak dan prizadene ogromna kršitev podatkov

Etično hekanje

To kršitev smo odkrili kot del etični hekerski projekt. Noam Rotem, znani aktivist in heker z belimi klobuki, skupaj z Ranom L. in njihovo ekipo izvaja projekt spletnega skeniranja, ki pregleduje bloke IP in sistemske luknje za uhajanje podatkov.

Lastnike baze podatkov so preverili s ustvarjanje, vnos in identifikacija podatkov.

Odkrili so, da je Globalegrow celotna baza podatkov je nezaščitena in večinoma nekodificirana. Podjetje uporablja bazo podatkov Elasticsearch, ki običajno ni zasnovana za uporabo URL-jev. Vendar smo do njega lahko dostopali preko brskalnika in manipulirali z merili za iskanje URL-jev tako, da smo kadar koli iz posameznega indeksa prikazali do 10.000 shem..

Kot etični hekerji smo dolžni posežemo po spletnih mestih, ko odkrijemo varnostne pomanjkljivosti. To še posebej velja, če kršitev podatkov podjetja prizadene toliko ljudi - in v primeru Gearbesta ta težava vsak dan prizadene stotine tisoč ljudi.

Vendar pa ta etika pomeni tudi, da nosimo a odgovornost do javnosti. Kupci opreme Gearbest se morajo zavedati tveganj, ki jih prevzamejo pri uporabi spletnega mesta, ki se ne trudi zaščititi svojih uporabnikov.

Večkrat smo stopili v stik tako z Gearbestom kot s Globalegrowom da jih obvestimo o tej kršitvi in ​​jim omogočimo, kdaj bomo objavili ta članek. Bili so več dni odpovedni. Na žalost naši večkratni poskusi, da bi od teh podjetij zahtevali, naj okrepijo in zaščitijo svoje uporabnike, niso bili uspešni. Ob objavi še nismo prejeli odgovora.

Prejšnja poročila

Pred kratkim smo to razkrili Dalil je doživel ogromno kršitev podatkov. Dalil je največja aplikacija Savdske Arabije v telefonskem imeniku in kršitev je prizadela več kot 5 milijonov uporabnikov. Morda boste želeli prebrati tudi naše poročilo o ponarejenih aplikacijah, ki se uporabljajo v Iranu za spremljanje uporabnikov, poročilo o puščanju VPN in poročilo o zasebnosti podatkov..

Prosimo, da to poročilo delite na Facebooku ali da ga tviterate.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me