www.svethardware.cz
>
>

E-shop Gearbest nechal data zákazníků bez ochrany

E-shop Gearbest nechal data zákazníků bez ochrany
, , aktualita
Populární čínský e-shop Gearbest řešil problém s nedostatečným zabezpečením už v minulosti. Tentokrát ovšem nechal databázi citlivých informací napospas hackerům. Společnost tvrdí, že šlo o chybu jednoho ze zaměstnanců.
K oblíbeným
reklama
Gearbest patří k nejznámějším čínským obchodům, které své zboží doručují po celém světě. V nabídce nalezneme gadgety za pár dolarů (s dopravou zdarma) i levné smartphony, které mnohdy ani na tuzemském trhu neseženete. Část zboží navíc začala společnost posílat z českého skladu, takže odpadají problémy s proclením a nekonečně dlouhé čekání na doručení balíčku. Tentokrát se ovšem na Gearbest podíváme z hlediska zabezpečení. První problémy měl e-shop koncem roku 2017, ale nejspíš se z kauzy uniklých přihlašovacích údajů nepoučil. Tedy určitě ne dostatečně.
 
 
Tento měsíc totiž bylo objeveno, že databáze společnosti zůstala takřka bez jakéhokoliv zabezpečení, takže hackeři měli otevřené dveře k datům o zákaznících. Naštěstí na problém nejprve upozornila skupina tzv. etických hackerů, kterou vede Noam Rotem. Jeho cílem není nabourávat servery za účelem vlastního obohacení, ale proto, aby upozornil na případné chyby v zabezpečení a ochránil tak data ostatních návštěvníků webu. Proto tým nejprve kontaktoval Gearbest a společnost Globalegrow, která tento e-shop provozuje. Ani přes opakované urgence nedostali odpověď.
 
Jedná se přitom o závažný problém, který se týká až milionů zákazníků Gearbestu a dalších e-shopů stejného provozovatele (např. Zaful, Rosegal nebo DressLily). Případný „zlý“ hacker by mol získat nezašifrované e-mailové adresy a hesla k uživatelským účtům. A jelikož řada uživatelů stále používá stejné přihlašovací údaje k více službám, jedná se o poměrně cenná data, která by útočník mohl zpeněžit na černém trhu. Kromě toho databáze odkryla celé jméno zákazníků, jejich poštovní adresu, telefonní číslo, datum narození nebo IP adresu, v některých případech také informace o dokladech totožnosti. To už je dost údajů k ukradení identity.
 
 
Ačkoliv neunikla čísla platebních karet, u některých platebních metod (např. brazilské banky Boleto) nebyl větší problém se dostat až citlivým informacím o platbě včetně čísla účtu nebo seznamu účtenek. Dalšími problematickými údaji, která byla vystavena případným útočníkům, je historie objednávek. To může být zvlášť nepříjemné v situacích, kdy si zákazník objednával např. sexuální pomůcky. V některých zemích je přitom pohled na sexualitu výrazně odlišný od toho, jaký známe ze západního světa, homosexualita je v některých režimech dokonce trestná. Pro skupinu etických hackerů přitom nebyl problém dohledat takové objednávky z Pákistánu spolu s kompletními údaji o zákazníkovi. Tím Gearbest ohrožuje nejen soukromí, ale dokonce i bezpečnost.
 
Kauza přitom ukázala i problém s tím, jaká uživatelská data Gearbest shromažďuje o svých zákaznících. Patří mezi ně IP adresa, která přitom není důležitá pro vyřízení objednávky. E-shop dokonce ohrozil i svůj vlastní provoz, neboť hackeři se dostali i do interního systému, mohli tak snadno vyřadit z provozu jednotlivé části serverů a vyřadit tak systém objednávek nebo systém pro správu skladů. Gearbest poslal webu Androidpolice.com, který o problému informoval později, vyjádření. V něm uvádí, že základní databáze a data jsou chráněna šifrováním, ale problém se objevil u některého z externích nástrojů, který společnost využívá, aby nedošlo k přetížení systému.
 
Interní vyšetřování mělo odhalit, že jeden z pracovníků vypnul firewall chránící externí nástroj, proto mohlo dojít k odhalení dat u objednávek provedených od 1. do 15. března 2019. Celkem se mělo jednat o 280 tisíc zákazníků. Gearbest tvrdí, že chybu opravil do dvou hodin od jejího detekování a chystá provést opatření, aby se už v budoucnu neopakovala.
 


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
Čínská společnost chystá vlastní GPU s PCIe 4.0 a cílí na výkon GeForce GTX 1080 Čínská společnost chystá vlastní GPU s PCIe 4.0 a cílí na výkon GeForce GTX 1080
Ze všemožných výrobců grafických čipů pro PC nám zůstaly už jen dvě společnosti, které udávají krok a ty zde není třeba jmenovat. Nicméně jedna čínská firma se bude snažit o to, aby se mezi ne protlačila. 
Dnes, aktualita, Jan Vítek1 komentář
Lian Li TU150: vskutku přenosná skříň Lian Li TU150: vskutku přenosná skříň
Společnost Lian Li specializující se na hliníkové skříně nám přináší v obvyklém černém a stříbrném provedení nové skříně, a to TU150. Jde o základ pro skutečně přenosné počítače, což poznáme dle vestavěného madla. 
Dnes, aktualita, Jan Vítek3 komentáře
UniverseMachine na superpočítači simulovala vývoj 8 milionů vesmírů UniverseMachine na superpočítači simulovala vývoj 8 milionů vesmírů
Superpočítač Ocelote na Univerzitě v Arizoně posloužil pro vytvoření tzv. Universe Machine. Ta vytvořila miliony virtuálních vesmírů a sledovala jejich vývoj, aby se výsledky daly porovnat s tím, co můžeme vidět na vlastní oči. 
Dnes, aktualita, Jan Vítek3 komentáře
Partneři Microsoftu naslouchali záznamům pořízeným Xboxy, je to ovšem problém? Partneři Microsoftu naslouchali záznamům pořízeným Xboxy, je to ovšem problém?
Už od roku 2014 dodavatelé společnosti Microsoft, kteří měli co do činění s Xboxem, nahrávali audio záznamy pořízené v domácnostech herními konzolemi. To probíhalo ve snaze vylepšit funkce hlasových příkazů, ovšem ne vždy.
Dnes, aktualita, Jan Vítek
AMD Ryzen 5 3500: to pravé pro lidové herní sestavy? AMD Ryzen 5 3500: to pravé pro lidové herní sestavy?
Tum Apisak se letmo zmínil o procesoru AMD Ryzen 5 3500, který by měl nastoupit s výbavou šesti jader bez SMT. Mohl by se tak stát velice zajímavou volbou pro herní sestavy s rozumnou cenou, ostatně dnes je pro hry šest fyzických jader vhodná výbava.
Dnes, aktualita, Jan Vítek1 komentář