Хакеры получили доступ ко всем данным пользователей GearBest (обновлено)
![Хакеры получили доступ ко всем данным пользователей GearBest (обновлено)](https://cdn.lifehacker.ru/wp-content/uploads/2019/03/gearbest_1552664957-288x144.jpg)
Исследовательская группа обнаружила серьёзную уязвимость баз данных интернет-магазина GearBest. По мнению экспертов, система защиты информации о покупателях отсутствует напрочь, о чём они подробно рассказали в большом отчёте.
Хакеры, тестировавшие защиту GearBest, легко получили доступ к именам покупателей, их паспортным данным, паролям учётных записей, адресам доставок, электронной почте, физическому адресу, номерам телефонов, спискам купленных товаров и многим другим совершенно конфиденциальным сведениям.
Воспользовавшись этими данными, тестировщики смогли войти в несколько учётных записей так же, как если бы они ими и владели. Злоумышленники в таком случае могут изменить всю личную информацию и, к примеру, просто менять адреса доставок на все ваши заказы.
Потерять таким образом покупки или даже аккаунт — меньшее из зол. Куда опаснее если злоумышленники попытаются воспользоваться полученными личными данными. В России такого набора сведений хватит, чтобы получить доступ к сайтам типа Госуслуг, банковским приложениям, медицинской информации и не только.
Кроме данных пользователей хакеры добрались до внутренней системы управления данными GearBest и компании Globalegrow, владеющей магазином. Такой уровень доступа позволяет легко манипулировать коммерческими сведениями, менять свойства баз и даже отключать серверы целиком.
Хакеры пытались связаться с представителями GearBest и Globalegrow, чтобы сообщить им о выявленных проблемах. Но на данный момент ответа они так и не получили.
Обновление:
Представители GearBest сообщили, что сразу после получения отчёта была начата внутренняя проверка. Она показала, что основные базы данных с информацией о клиентах и транзакциях полностью защищены всеми необходимыми средствами шифрования. Однако некоторая часть конфиденциальной информации, временно хранимой на внешних источниках, действительно не была защищена.
Внешние источники для хранения данных используются GearBest для повышения эффективности работы серверов и предотвращения их перегрузки. Любая информация не хранится там больше 3 календарных дней, после чего автоматически уничтожается. От несанкционированного доступа, такие данные защищаются мощными брандмауэрами, однако с 1 марта 2019 года они ошибочно были отключены одним из сотрудников.
Все заказы с 1 марта перепроверены, а пароли вновь созданных аккаунтов дезактивированы. Всем пользователям, кого это могло коснуться, направлены письма с разъяснением ситуации и условиями повторной активации учётной записи. Представители GearBest искренне извиняются за произошедшее и уверяют, что впредь будут совершенствовать свою систему безопасности, не подвергая риску данные покупателей.
Лучшие предложения
7 товаров, которые помогут питомцам пережить жару
Лучшие предложения недели: скидки от AliExpress, Krona, Sela и других магазинов
10 компактных сумок-слингов, которые заменят повседневный рюкзак
10 автомобильных подушек, которые сделают поездки комфортнее
14 чёрных футболок, которые просто обязаны быть в базовом гардеробе
Выгодно: наушники Baseus Bowie MA10 за 2 476 рублей
Находки AliExpress: самые интересные и полезные товары
15 интересных товаров дешевле 500 рублей
Как выбрать ну очень мощный ноутбук: 5 параметров, которые стоит оценить в первую очередь
От СС-крема до тинта: 10 продуктов, которые стоит добавить в летнюю косметичку
Приключения Алисы в Лайфхакере. Редакция тестирует умного помощника
Железо воина: 7 компонентов идеального игрового ноутбука MSI Katana A17 AI B8V