รายงาน – Gearbest Hack: หลายร้อยหลายพันคนได้รับผลกระทบทุกวันจากการละเมิดข้อมูลขนาดใหญ่

นำโดย Noam Rotem แฮ็กเกอร์หมวกสีขาวและนักกิจกรรมที่มีชื่อเสียง, ทีมวิจัยของ VPNMentor ค้นพบการละเมิดความปลอดภัยที่สำคัญใน Gearbest. 

มียอดขายหลายแสนครั้งทุกวัน, Gearbest เป็น บริษัท อีคอมเมิร์ซจีนที่ประสบความสำเร็จอย่างสูง.

เว็บไซต์จำหน่ายสินค้าอิเล็คทรอนิคส์และเครื่องใช้ต่าง ๆ รวมถึงเสื้อผ้าอุปกรณ์เสริมและของใช้ในบ้าน ในขณะนั้น ขายแบรนด์ที่มีชื่อเสียงระดับสากล เช่น OnePlus ส่วนใหญ่เป็นแบรนด์จีนขนาดเล็ก.

จัดส่งไปยังกว่า 250 ประเทศและดินแดนต่างๆทั่วโลกและ อยู่ใน 100 อันดับแรกของเว็บไซต์ในเกือบ 30% ของภูมิภาคเหล่านี้. Gearbest มีโดเมนย่อยใน 18 ภาษาสร้างความดึงดูดระดับโลก.

Gearbest เป็นเจ้าของโดยกลุ่ม บริษัท จีน Globalegrow ผู้ปกครอง บริษัท ดำเนินงานหลายไซต์ที่ประสบความสำเร็จในระดับสากล, รวมถึง Zaful, Rosegal และ DressLily ในปี 2558 ยอดขายของพวกเขาสูงถึง 550 ล้านเหรียญสหรัฐ 2023 เห็นว่า บริษัท ฉลองยอดขาย 1.48 พันล้านดอลลาร์.

ความสำเร็จในการหลบหนีของ บริษัท เป็นชัยชนะสำหรับ Gearbest และ บริษัท ในเครือ อย่างไรก็ตามมันเป็น ไม่ใช่ข่าวดีสำหรับลูกค้าของไซต์.

vpnMentor สามารถเปิดเผยได้เท่านั้น ฐานข้อมูลของ Gearbest ไม่ปลอดภัยอย่างสมบูรณ์ – เช่นเดียวกับที่เป็นของ บริษัท ในเครือ.

การละเมิดข้อมูล Gearbest

แฮกเกอร์ของเราสามารถเข้าถึงส่วนต่าง ๆ ของฐานข้อมูล Gearbest รวมถึง:

  • ฐานข้อมูลคำสั่งซื้อ
    ข้อมูลรวมถึงผลิตภัณฑ์ที่ซื้อ ที่อยู่จัดส่งและรหัสไปรษณีย์ ชื่อลูกค้า; ที่อยู่อีเมล; หมายเลขโทรศัพท์
  • ฐานข้อมูลการชำระเงินและใบแจ้งหนี้
    ข้อมูลมีหมายเลขการสั่งซื้อ ประเภทการชำระเงิน ข้อมูลการชำระเงิน ที่อยู่อีเมล; ชื่อ; ที่อยู่ IP
  • ฐานข้อมูลสมาชิก
    ข้อมูลมีชื่อ; ที่อยู่; วันเกิด; หมายเลขโทรศัพท์; ที่อยู่อีเมล; ที่อยู่ IP; ข้อมูลประจำตัวประชาชนและหนังสือเดินทาง รหัสผ่านบัญชี

เราเข้าถึงฐานข้อมูลเหล่านี้ในเดือนมีนาคม 2562 และค้นพบบันทึกมากกว่า 1.5 ล้านรายการ.

ฐานข้อมูล Gearbest ไม่ปลอดภัย นอกจากนี้ยังให้บริการตัวแทนที่อาจเป็นอันตรายด้วยการจัดหาข้อมูลใหม่ล่าสุดอย่างต่อเนื่อง.

ปัญหาด้านความปลอดภัย

นอกเหนือจากความสามารถของเราในการเข้าถึงชุดข้อมูลส่วนบุคคลที่สมบูรณ์แบบสำหรับผู้ใช้หลายล้านคนการละเมิดข้อมูลของ Gearbest ทำให้เกิดปัญหาร้ายแรงอื่น ๆ อีกหลายประการ.

ความเป็นส่วนตัวของผู้ใช้

นโยบายความเป็นส่วนตัวของ Gearbest ระบุว่าในขณะที่ทำ รวบรวมข้อมูลผู้ใช้, มันขึ้นอยู่กับวัตถุประสงค์ที่มุ่งเน้นในการให้บริการลูกค้าของพวกเขา.

นโยบายความเป็นส่วนตัวยังระบุว่าในขณะที่ผู้ใช้มีความรับผิดชอบต่อรหัสผ่านของพวกเขาพวกเขา เข้ารหัสข้อมูลที่ละเอียดอ่อน และใช้ซอฟต์แวร์ตรวจสอบภายนอกเพื่อปกป้องลูกค้า.

ข้อมูลที่ถูกมองว่าเป็นผลมาจากการแฮ็คนี้แสดงให้เห็นว่าเรื่องนี้ไม่จริง เราเห็นข้อมูลที่ละเอียดอ่อนมากมายรวมถึงที่อยู่อีเมลและรหัสผ่านซึ่งไม่ได้เข้ารหัสอย่างสมบูรณ์.

นอกจากนี้ ฐานข้อมูลมีข้อมูลจำนวนมากที่สามารถระบุตัวบุคคลได้ ที่ไม่จำเป็นเมื่อทำหน้าที่ของร้านอีคอมเมิร์ซ ตัวอย่างเช่นที่อยู่จัดส่งมีความสำคัญต่อการปฏิบัติตามคำสั่งซื้อ ที่อยู่ IP ไม่ได้.

สิ่งนี้น่าเป็นห่วงโดยเฉพาะอย่างยิ่งเนื่องจากกระแสในปัจจุบันที่มีต่ออินเทอร์เน็ตที่เปิดกว้างและซื่อสัตย์มากขึ้น ผู้ให้บริการในหลายอุตสาหกรรมตั้งแต่ CyberGhost VPN ถึง Walmart (ทั้งคู่ได้เผยแพร่รายงานความโปร่งใสล่าสุด), พยายามเพิ่มความโปร่งใสให้กับลูกค้า. การปฏิบัติที่ร่มรื่นของ Gearbest ทำในสิ่งที่ตรงกันข้าม.

ดูเหมือนว่า Gearbest จะละเมิดนโยบายความเป็นส่วนตัวของพวกเขาเอง อย่างไรก็ตามนี่ไม่ใช่ความเสี่ยงที่สำคัญที่สุดต่อความเป็นส่วนตัวของผู้ใช้ที่นี่.

ความปลอดภัยของผู้ใช้

ฐานข้อมูลเปิดที่เต็มไปด้วยข้อมูลส่วนบุคคลสามารถลดความปลอดภัยของผู้ใช้ออนไลน์ได้ บันทึกที่เราเห็นโชว์ ชุดข้อมูลที่ไม่ได้เข้ารหัสเต็มรูปแบบรวมถึงที่อยู่อีเมลและรหัสผ่าน.

(มันเป็นเรื่องน่าสังเกตว่าที่อยู่อีเมลบางแห่งมีการแฮ็กข้อมูลบางอย่างเราไม่ทราบว่านี่เป็นความตั้งใจและควรปรากฏขึ้นทุกที่หรือหากข้อมูลบางส่วนของพวกเขาเสียหายแฮกเกอร์ของเราเชื่อว่าเป็นมาตรการรักษาความปลอดภัยบางส่วน ไม่ทำงาน)

ภาพหน้าจอด้านล่างแสดงตัวอย่างข้อมูลจากชุดข้อมูลผู้ใช้สองชุดที่เรารวบรวมจากฐานข้อมูล.

เราสามารถเข้าสู่บัญชี Gearbest ทั้งสองนี้ได้ และดำเนินการราวกับว่าเราเป็นผู้ใช้ เราสามารถดูคำสั่งซื้อในปัจจุบันและที่ผ่านมาสะสมคะแนน Gearbest และเปลี่ยนรหัสผ่านของบัญชีและรายละเอียด.

แฮกเกอร์สามารถใช้ข้อมูลนี้เพื่อสร้างความเสียหาย“ ท้องถิ่น” โดยการเข้าถึงบัญชีผู้ใช้โดยใช้อีเมลและรหัสผ่านพวกเขาสามารถเปลี่ยนคำสั่งของผู้ใช้จัดการรายละเอียดบัญชีและใช้เงินจากวิธีการชำระเงินที่บันทึกไว้.

อย่างไรก็ตามข้อมูลนี้สามารถใช้ในทางที่น่ากลัวยิ่งกว่าเดิม โดยอ้างอิงข้ามฐานข้อมูลที่แตกต่างกัน, แฮกเกอร์สามารถขโมยข้อมูลประจำตัวของลูกค้า Gearbest ได้อย่างง่ายดาย.

ดังที่แสดงด้านล่างฐานข้อมูลสมาชิกรวมถึงที่อยู่ IP ของผู้ใช้ที่อยู่ไปรษณีย์แบบเต็มที่อยู่อีเมลวันเกิดและหมายเลขประจำตัวประชาชนที่น่าเป็นห่วงที่สุด.

อาจมีข้อมูลเพียงพอที่จะให้แฮกเกอร์ทั้งนี้ขึ้นอยู่กับประเทศและข้อกำหนด เข้าถึงพอร์ทัลรัฐบาลออนไลน์แอพธนาคารบันทึกการประกันสุขภาพ, และอื่น ๆ.

รายละเอียดการจ่ายเงิน

เมื่อตรวจสอบฐานข้อมูลการชำระเงินและใบแจ้งหนี้เราสังเกตว่าคำว่า “Boleto” ปรากฏหลายครั้งโดยอ้างอิงจากคำสั่งซื้อของบราซิลเท่านั้น (บัญชีบราซิลคิดเป็น 9.2% ของปริมาณการใช้ทั่วโลกของ Gearbest).

มันหมายถึง Boleto Bancario (ตัวอักษร “ตั๋วธนาคาร”), วิธีการชำระเงินซึ่งควบคุมโดยสหพันธ์ธนาคารบราซิล.

มันคล้ายกับระบบการชำระเงินของ Oxxo ที่ใช้ในเม็กซิโก Oxxo อนุญาตให้ผู้ใช้สร้างบัตรกำนัลซึ่งทำหน้าที่เหมือนบัตรเดบิต: ผู้ใช้โหลดจำนวนที่พวกเขาเลือกและสามารถใช้สิ่งที่มีอยู่ บัตรกำนัลแต่ละใบมีบาร์โค้ดที่เป็นเอกลักษณ์ ทำให้ผู้ใช้สามารถเข้าถึงเงินของพวกเขาได้.

ในฐานข้อมูลที่เราเข้าถึงการชำระเงินโดยใช้วิธีใดวิธีหนึ่งเหล่านี้รวมถึง URL สำหรับ“ ebanx” ลิงก์เหล่านี้แสดงบัตรกำนัลที่ใช้งานซึ่งใช้งานพร้อมกับเงินสดจำนวน ข้อมูลยัง รวมถึงบาร์โค้ดที่เป็นเอกลักษณ์ของ Oxxo และ Boleto; ข้อมูลนี้ช่วยให้แฮ็กเกอร์ทำหน้าที่เป็นผู้ใช้ นอกจากนี้เรายังสามารถเข้าถึงใบเสร็จของลูกค้าพร้อมข้อมูลธนาคารของพวกเขา.

รายละเอียดคำสั่งซื้อ: Sex Toy Scandal

สามารถดูเนื้อหาที่แน่นอนของคำสั่งของผู้คนได้ บนฐานข้อมูลคำสั่งซื้อ คุณสามารถดูยี่ห้อขนาดและต้นทุนของแต่ละรายการได้อย่างแน่นอนพร้อมกับชื่อผู้ใช้และที่อยู่สำหรับจัดส่ง.

เปรียบเทียบกับข้อมูลอื่น ๆ ที่มีอยู่ในฐานข้อมูลที่ไม่มีการป้องกันเหล่านี้ดูเหมือนจะไม่น่าตกใจเป็นพิเศษ อย่างไรก็ตาม เนื้อหาคำสั่งของบางคนได้รับการพิสูจน์แล้วว่าเปิดเผยได้อย่างดีเยี่ยม – และในบางกรณีแม้กระทั่งถึงแก่ชีวิต.

ซ่อนอยู่ในส่วน “การขาย” ของหมวดหมู่ “เครื่องแต่งกาย” ของ Gearbest, ผู้ใช้สามารถค้นหาของเล่นทางเพศมากมาย. ลักษณะของฐานข้อมูลแบบเปิดของร้านหมายความว่ารายละเอียดการซื้อส่วนตัวของคุณอาจกลายเป็นความรู้สาธารณะอย่างรวดเร็ว.

สำหรับผู้ใหญ่หลายคนทั่วโลกการซื้อของเล่นทางเพศนั้นไม่เป็นปัญหา ตัวอย่างเช่นคำสั่งซื้อที่แสดงในภาพด้านล่างเป็นของคนในบราซิลและกรีซ.

ประเทศเหล่านี้มีกฎหมายที่อนุญาตอย่างมากเกี่ยวกับเรื่องเพศและรักร่วมเพศ สำหรับบริบทบราซิลเป็นเจ้าภาพจัดขบวนพาเหรดความภาคภูมิใจที่ใหญ่ที่สุดในโลกและความสัมพันธ์ระหว่างเพศเดียวกันนั้นถูกต้องตามกฎหมายในกรีซมาตั้งแต่ปี 1951 ในขณะที่เนื้อหาของคำสั่งดังกล่าวจะถูกปล่อยออกมา, การเผยแพร่ข้อมูลดังกล่าวไม่สามารถทำให้เกิดผลกระทบทางกฎหมายได้.

อย่างไรก็ตามนี่ไม่ใช่กรณีทุกที่ ขณะตรวจสอบฐานข้อมูลเราพบข้อมูลการสั่งซื้อสำหรับผู้ใช้ชายชาวปากีสถาน.

ลูกค้ารายนี้ซื้อ dildo ซิลิโคน; ในความเป็นจริงการตรวจสอบฐานข้อมูลเพิ่มเติมแสดงว่าจริง ๆ แล้วเขาซื้อสาม การซื้อแต่ละครั้งมีข้อมูลที่แตกต่างกันเล็กน้อยซึ่งเป็นสาเหตุที่ที่อยู่ไม่ปรากฏในภาพด้านบน.

ปากีสถานไม่ได้มีทัศนคติแบบเสรีนิยมเช่นเดียวกันกับเรื่องเพศที่หลายประเทศทางตะวันตกยอมรับ.

ของประเทศ กฎหมายที่เข้มงวดกำหนดว่าการมีชู้และการมีเพศสัมพันธ์ก่อนสมรสเป็นความผิดทางอาญา มีโทษโดยจำคุกและถูกปรับ กฎหมายทางศาสนาของประเทศยังอนุญาตให้มีการเสียชีวิตด้วยการถูกลงโทษหรือการลงโทษทางร่างกาย.

สิทธิ์ของ LGBT มี จำกัด และมีการลงโทษเช่นเดียวกัน. ชุมชน LGBT ยังต้องทนทุกข์ทรมานจากมลทินทางสังคมการขาดการคุ้มครองทางกฎหมายและสังคม Islamized ซึ่งขัดขวางการยอมรับของคน LGBT.

นอกจากนี้ยังเป็นที่น่าสังเกตว่าวัฒนธรรมนั้นไม่น่าเป็นที่ผู้ซื้อจะทำการซื้อสำหรับภรรยาของผู้ซื้อของเขา.

กฎหมายเหล่านี้ทำให้นักช้อปชาวปากีสถานของเราเป็นตัวอย่างที่ดีว่าทำไมฐานข้อมูลเปิดของ Gearbest จึงอันตรายมาก. การค้นหาอย่างง่ายทำให้เรามีชื่อเต็มที่อยู่อีเมลที่อยู่และที่อยู่ IP ของเขา. การค้นหาที่ละเอียดมากขึ้นอาจแสดงวันเดือนปีเกิดและรหัสผ่านบัญชีของเขาให้เราเห็นข้อมูลการสั่งซื้อก่อนหน้านี้ของเขา.

เราไม่ได้เป็นอันตรายและกำลังแบ่งปันข้อมูลนี้ (ถูกเซ็นเซอร์สูง) ให้ เน้นถึงอันตรายของฐานข้อมูลที่เปิดอยู่. คนอื่นอาจมีความตั้งใจที่แตกต่างกันมาก ในมือของรัฐบาลปากีสถานข้อมูลนี้อาจหมายถึงประโยคประหารชีวิตที่แท้จริงสำหรับผู้ใช้รายนี้.

Gearbest ทำร้ายตัวเองอย่างไร

Gearbest กำลังเปิดเผยข้อมูลของผู้ใช้หลายล้านคน อย่างไรก็ตาม, บริษัท กำลังทำร้ายตัวเองเช่นกัน.

ดัชนีแฮ็กเกอร์ของเราค้นพบว่าไม่ใช่เพื่อฐานข้อมูลผู้ใช้เท่านั้น พวกเขายังรวมการเข้าถึง URL ของ Gearbest’s – และ Globalegrow’s – ระบบ Kafka.

Kafka เป็นโปรแกรมการจัดการข้อมูลที่ช่วยให้องค์กรขนาดใหญ่สามารถควบคุมปริมาณข้อมูลไซต์ที่ส่งผ่านเซิร์ฟเวอร์แต่ละเครื่อง บริการนี้มีจุดประสงค์สองประการ: เพื่อป้องกันเซิร์ฟเวอร์โอเวอร์โหลดและรักษาประสิทธิภาพและช่วยให้ บริษัท สามารถรวบรวมข้อมูลขนาดใหญ่ได้.

การเข้าถึงแบบนี้ อนุญาตให้แฮกเกอร์ประสงค์ร้ายจัดการข้อมูล, มอบหมายคุณสมบัติฐานข้อมูลอีกครั้งและแม้กระทั่งปิดการใช้งานส่วนทั้งหมดของเซิร์ฟเวอร์ของ บริษัท ขึ้นอยู่กับฟังก์ชั่นของแต่ละเซิร์ฟเวอร์สิ่งนี้อาจขัดขวางการรวบรวมข้อมูลการสั่งซื้อและการจัดการคลังสินค้าและคลังสินค้า.

การแฮ็กอย่างมีจริยธรรม

เราค้นพบการละเมิดนี้เป็นส่วนหนึ่งของ โครงการแฮ็คจริยธรรม. Noam Rotem นักกิจกรรมและแฮ็กเกอร์สีขาวที่มีชื่อเสียงรวมถึง Ran L. และทีมของพวกเขากำลังเรียกใช้โครงการสแกนเว็บซึ่งตรวจสอบบล็อก IP และช่องโหว่ของระบบเพื่อดูว่าข้อมูลรั่วไหลหรือไม่.

พวกเขายืนยันเจ้าของฐานข้อมูลโดย การสร้างการป้อนและการระบุข้อมูล.

พวกเขาค้นพบว่า Globalegrow ฐานข้อมูลทั้งหมดไม่มีการป้องกันและไม่มีการเข้ารหัสส่วนใหญ่. บริษัท ใช้ฐานข้อมูล Elasticsearch ซึ่งโดยปกติไม่ได้ออกแบบมาสำหรับการใช้ URL อย่างไรก็ตามเราสามารถเข้าถึงได้ผ่านเบราว์เซอร์และจัดการเกณฑ์การค้นหา URL เพื่อเปิดเผย schemata มากถึง 10,000 schemata จากดัชนีเดียวได้ตลอดเวลา.

ในฐานะที่เป็นแฮ็กเกอร์ที่มีจริยธรรมเราต้องปฏิบัติตาม เข้าถึงเว็บไซต์เมื่อเราค้นพบข้อบกพร่องด้านความปลอดภัย. นี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งเมื่อการละเมิดข้อมูลของ บริษัท ส่งผลกระทบต่อคนจำนวนมากและในกรณีของ Gearbest ปัญหานี้ส่งผลกระทบต่อผู้คนหลายแสนคนทุกวัน.

อย่างไรก็ตามจริยธรรมเหล่านี้ก็หมายความว่าเรามี ความรับผิดชอบต่อสาธารณะ. ผู้ซื้อ Gearbest ควรตระหนักถึงความเสี่ยงที่เกิดขึ้นเมื่อใช้งานเว็บไซต์ที่ไม่ได้พยายามปกป้องผู้ใช้.

เราติดต่อทั้ง Gearbest และ Globalegrow ซ้ำ ๆ เพื่อแจ้งให้ทราบถึงการละเมิดนี้และแจ้งให้ทราบเมื่อเราจะเผยแพร่บทความนี้ พวกเขามีการแจ้งล่วงหน้าหลายวัน น่าเสียดายที่ความพยายามของเราซ้ำ ๆ ในการขอให้ บริษัท เหล่านี้เลื่อนขั้นและปกป้องผู้ใช้ของพวกเขาไม่สำเร็จ ในช่วงเวลาของการเผยแพร่เรายังไม่ได้รับคำตอบ.

รายงานที่ผ่านมา

เราเพิ่งเปิดเผยว่า ดาลิลประสบกับการละเมิดข้อมูลอย่างมาก. Dalil เป็นแอพสมุดโทรศัพท์ที่ใหญ่ที่สุดของซาอุดิอาระเบียและการละเมิดนั้นส่งผลกระทบต่อผู้ใช้มากกว่า 5 ล้านคน คุณอาจต้องการอ่านรายงานแอพปลอมของเราที่ใช้ในอิหร่านเพื่อตรวจสอบผู้ใช้รายงานการรั่วไหลของ VPN และรายงานสถิติความเป็นส่วนตัวของข้อมูล.

กรุณาแชร์รายงานนี้บน Facebook หรือทวีต.