Исследовательская группа VPNMentor обнаружила серьёзную уязвимость баз данных интернет-магазина GearBest. По мнению экспертов, система защиты информации о покупателях отсутствует напрочь, о чём они подробно рассказали в большом отчёте.

Хакеры VPNMentor, тестировавшие защиту GearBest, легко получили доступ к именам покупателей, их паспортным данным, паролям учётных записей, адресам доставок, электронной почте, физическому адресу, номерам телефонов, спискам купленных товаров и многим другим совершенно конфиденциальным сведениям.

Воспользовавшись этими данными, тестировщики смогли войти в несколько учётных записей так же, как если бы они ими и владели. Злоумышленники в таком случае могут изменить всю личную информацию и, к примеру, просто менять адреса доставок на все ваши заказы.

Потерять таким образом покупки или даже аккаунт — меньшее из зол. Куда опаснее если злоумышленники попытаются воспользоваться полученными личными данными. В России такого набора сведений хватит, чтобы получить доступ к сайтам типа Госуслуг, банковским приложениям, медицинской информации и не только.

Кроме данных пользователей хакеры добрались до внутренней системы управления данными GearBest и компании Globalegrow, владеющей магазином. Такой уровень доступа позволяет легко манипулировать коммерческими сведениями, менять свойства баз и даже отключать серверы целиком.

Хакеры VPNMentor пытались связаться с представителями GearBest и Globalegrow, чтобы сообщить им о выявленных проблемах. Но на данный момент ответа они так и не получили.

Обновление:

Представители GearBest сообщили, что сразу после получения отчёта VPNMentor была начата внутренняя проверка. Она показала, что основные базы данных с информацией о клиентах и транзакциях полностью защищены всеми необходимыми средствами шифрования. Однако некоторая часть конфиденциальной информации, временно хранимой на внешних источниках, действительно не была защищена.

Внешние источники для хранения данных используются GearBest для повышения эффективности работы серверов и предотвращения их перегрузки. Любая информация не хранится там больше 3 календарных дней, после чего автоматически уничтожается. От несанкционированного доступа, такие данные защищаются мощными брандмауэрами, однако с 1 марта 2019 года они ошибочно были отключены одним из сотрудников.

Все заказы с 1 марта перепроверены, а пароли вновь созданных аккаунтов дезактивированы. Всем пользователям, кого это могло коснуться, направлены письма с разъяснением ситуации и условиями повторной активации учётной записи. Представители GearBest искренне извиняются за произошедшее и уверяют, что впредь будут совершенствовать свою систему безопасности, не подвергая риску данные покупателей.