Turi būti atskleisti tūkstančių naudotojų, turinčių pavarų dėžę, duomenys

„Gearbest“ yra viena populiariausių internetinių parduotuvių pasaulyje. Specializuodamasi Kinijos kilmės kompiuterių ir elektronikos gaminiuose, daugiausia dėmesio skirdama išmaniesiems telefonams, pastaruoju metu ji užėmė aukščiausias vietas populiarumo reitinge. Tačiau atrodo, kad nebuvo imtasi reikiamų atsargumo priemonių ir tūkstančių, galbūt milijonų, vartotojų duomenys būtų paviešinti.

„Gearbest“ vartotojo duomenys yra atskleisti

Remiantis „VPNMentor“ komandos atliktu tyrimu, jų pačių įsilaužėliai galėjo prieiti prie įvairių „Gearbest“ duomenų bazių, susijusių su užsakymais, mokėjimais ir bendra informacija apie vartotojus, kurie yra išvardyti kaip „visiškai saugūs“.

Ataskaitoje pažymima, kad įsilaužėliai būtų turėję bent 1, 5 milijono duomenų. Tuo tarpu „Gearbest“ apskaičiavo, kad tai būtų paveikta 280 000 vartotojų.

Tarp informacijos, su kuria būtų galima susipažinti, yra vardai, identifikavimo numeriai, pasų numeriai, užsakymų istorija, pristatymo adresai, išsami mokėjimo informacija, el. Pašto adresai ir slaptažodžiai.

Komanda teigia, kad su šia informacija galėjo susipažinti anksčiau šį mėnesį, pridurdama, kad atrado „daugiau nei 1, 5 milijono įrašų“. Be to, komanda pareiškė, kad ji kelis kartus susisiekė su „Gearbest“ ir jos patronuojančiąja bendrove, kad informuotų juos apie šią saugumo problemą, tačiau negavo jokio atsakymo.

„Gearbest“: „už faktus kalti trečiųjų šalių duomenų tvarkymo įrankiai“

Internetinis mažmenininkas pagaliau paskelbė pareiškimą per specializuotą svetainę „Android Police“ . Minėtame pranešime bendrovė teigia, kad jos pačios duomenų bazės ir serveriai yra „visiškai saugūs“. Taigi „Gearbest“ išmeta kamuoliukus siūlydamas, kad tai galėtų būti pažeistos trečiųjų šalių duomenų tvarkymo priemonės.

„Išoriniai įrankiai, kuriuos naudojame, yra skirti pagerinti efektyvumą ir išvengti duomenų perkrovos, o duomenys tokio tipo įrankiuose saugomi tik mažiau nei tris kalendorines dienas, kol jie automatiškai sunaikinami“, - aiškinama svetainėje užtikrinant, kad Šioms priemonėms apsaugoti naudojamos „galingos ugniasienės“.

Tačiau mūsų tyrimas atskleidžia, kad 2019 m. Kovo 1 d. Vienas iš mūsų saugumo komandos narių pažeidė šios rūšies ugniasienes dėl priežasčių, kurios vis dar tiriamos. Tokia neapsaugota padėtis tiesiogiai atskleidė tuos skaitmeninimo ir prieigos įrankius be papildomo autentifikavimo “.

„Gearbest“ mano, kad paveiktų vartotojų yra tik apie 280 000. Panašiai šie paveikti vartotojai būtų tie, kurie svetainėje pirko nuo kovo 1 d. Iki kovo 15 d. Kaip neatidėliotinas priemones „Gearbest“ paskelbė, kad visoms paveiktoms vartotojams ketina siųsti informatyvų el. Laišką, o dezaktyvuos naujai registruotų vartotojų slaptažodžius.

Kaip patikina „Android“ institucija, tai nėra pirmas kartas, kai „ Gearbest“ panardinama į panašią situaciją, kai kyla pavojus vartotojų ir klientų duomenims. Praėjusį 2017 m. Gruodžio mėn. Internete buvo paskelbta mažiausiai 150 vartotojų registracijų. Šio įvykio metu svetainė teigė, kad įsilaužėliai greičiausiai pirko ar įgijo vartotojo prisijungimo informaciją iš kitų svetainių ir naudojo tą informaciją bandydami prisijungti prie „Gearbest“ paskyrų.

„Android Authority“ šriftas