www.svethardware.cz
>
>

E-shop Gearbest nechal data zákazníků bez ochrany

E-shop Gearbest nechal data zákazníků bez ochrany
, , aktualita
Populární čínský e-shop Gearbest řešil problém s nedostatečným zabezpečením už v minulosti. Tentokrát ovšem nechal databázi citlivých informací napospas hackerům. Společnost tvrdí, že šlo o chybu jednoho ze zaměstnanců.
K oblíbeným
reklama
Gearbest patří k nejznámějším čínským obchodům, které své zboží doručují po celém světě. V nabídce nalezneme gadgety za pár dolarů (s dopravou zdarma) i levné smartphony, které mnohdy ani na tuzemském trhu neseženete. Část zboží navíc začala společnost posílat z českého skladu, takže odpadají problémy s proclením a nekonečně dlouhé čekání na doručení balíčku. Tentokrát se ovšem na Gearbest podíváme z hlediska zabezpečení. První problémy měl e-shop koncem roku 2017, ale nejspíš se z kauzy uniklých přihlašovacích údajů nepoučil. Tedy určitě ne dostatečně.
 
 
Tento měsíc totiž bylo objeveno, že databáze společnosti zůstala takřka bez jakéhokoliv zabezpečení, takže hackeři měli otevřené dveře k datům o zákaznících. Naštěstí na problém nejprve upozornila skupina tzv. etických hackerů, kterou vede Noam Rotem. Jeho cílem není nabourávat servery za účelem vlastního obohacení, ale proto, aby upozornil na případné chyby v zabezpečení a ochránil tak data ostatních návštěvníků webu. Proto tým nejprve kontaktoval Gearbest a společnost Globalegrow, která tento e-shop provozuje. Ani přes opakované urgence nedostali odpověď.
 
Jedná se přitom o závažný problém, který se týká až milionů zákazníků Gearbestu a dalších e-shopů stejného provozovatele (např. Zaful, Rosegal nebo DressLily). Případný „zlý“ hacker by mol získat nezašifrované e-mailové adresy a hesla k uživatelským účtům. A jelikož řada uživatelů stále používá stejné přihlašovací údaje k více službám, jedná se o poměrně cenná data, která by útočník mohl zpeněžit na černém trhu. Kromě toho databáze odkryla celé jméno zákazníků, jejich poštovní adresu, telefonní číslo, datum narození nebo IP adresu, v některých případech také informace o dokladech totožnosti. To už je dost údajů k ukradení identity.
 
 
Ačkoliv neunikla čísla platebních karet, u některých platebních metod (např. brazilské banky Boleto) nebyl větší problém se dostat až citlivým informacím o platbě včetně čísla účtu nebo seznamu účtenek. Dalšími problematickými údaji, která byla vystavena případným útočníkům, je historie objednávek. To může být zvlášť nepříjemné v situacích, kdy si zákazník objednával např. sexuální pomůcky. V některých zemích je přitom pohled na sexualitu výrazně odlišný od toho, jaký známe ze západního světa, homosexualita je v některých režimech dokonce trestná. Pro skupinu etických hackerů přitom nebyl problém dohledat takové objednávky z Pákistánu spolu s kompletními údaji o zákazníkovi. Tím Gearbest ohrožuje nejen soukromí, ale dokonce i bezpečnost.
 
Kauza přitom ukázala i problém s tím, jaká uživatelská data Gearbest shromažďuje o svých zákaznících. Patří mezi ně IP adresa, která přitom není důležitá pro vyřízení objednávky. E-shop dokonce ohrozil i svůj vlastní provoz, neboť hackeři se dostali i do interního systému, mohli tak snadno vyřadit z provozu jednotlivé části serverů a vyřadit tak systém objednávek nebo systém pro správu skladů. Gearbest poslal webu Androidpolice.com, který o problému informoval později, vyjádření. V něm uvádí, že základní databáze a data jsou chráněna šifrováním, ale problém se objevil u některého z externích nástrojů, který společnost využívá, aby nedošlo k přetížení systému.
 
Interní vyšetřování mělo odhalit, že jeden z pracovníků vypnul firewall chránící externí nástroj, proto mohlo dojít k odhalení dat u objednávek provedených od 1. do 15. března 2019. Celkem se mělo jednat o 280 tisíc zákazníků. Gearbest tvrdí, že chybu opravil do dvou hodin od jejího detekování a chystá provést opatření, aby se už v budoucnu neopakovala.
 


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
Specifikace PCI-Express 6.0 je tu, x16 slot dá 256 GB/s Specifikace PCI-Express 6.0 je tu, x16 slot dá 256 GB/s
Nové verze rozhraní PCI-Express zpravidla navyšují datovou propustnost na dvojnásobek. PCI-SIG kouká daleko do budoucnosti a zveřejnila specifikace nové verze rozhraní PCI-Express 6.0. To by mělo na x16 slotu nabídnout neuvěřitelných 256 GB/s.
Dnes, aktualita, Milan Šurkala
10nm Intel Ice Lake ukázal v benchmarku vysoký výkon 10nm Intel Ice Lake ukázal v benchmarku vysoký výkon
V databázi testů procesoru provedených v PassMark Performance Test se objevil také 10nm mobilní procesor Core i7-1065G7 architektury Ice Lake. A dosažený výkon má rozhodně více než solidní.
Dnes, aktualita, Milan Šurkala6 komentářů
Autonomní auta Volvo využijí HW od Nvidie Autonomní auta Volvo využijí HW od Nvidie
Pro fungování autonomních aut je potřeba mít spoustu senzorů a výkonný hardware, který tyto vstupy dokáže rychle zpracovat. Automobilka Volvo nyní oznamuje, že k tomu bude využívat platformu Nvidia Drive.
Dnes, aktualita, Milan Šurkala
Pandora u soudu za porušení copyrightu, zobrazovala texty písní Pandora u soudu za porušení copyrightu, zobrazovala texty písní
Streamovací služba Pandora u nás není moc známá jako např. Spotify, nicméně má stejný problém. Společnost Wixen ji zažalovala, tentokrát za zobrazování textů písní u jejích autorů bez příslušné licence.
Včera, aktualita, Milan Šurkala1 komentář
Mozilla Firefox 67.0.3 opravuje vážnou zero-day chybu Mozilla Firefox 67.0.3 opravuje vážnou zero-day chybu
Od Mozilly jsme se dočkali urychleného vydání nové verze prohlížeče Firefox 67.0.3. Starší verze totiž trpí na závažnou zero-day chybu. Tu totiž už útočníci s úspěchem využívají k napadání obětí.
Včera, aktualita, Milan Šurkala