www.svethardware.cz
>
>

E-shop Gearbest nechal data zákazníků bez ochrany

E-shop Gearbest nechal data zákazníků bez ochrany
, , aktualita
Populární čínský e-shop Gearbest řešil problém s nedostatečným zabezpečením už v minulosti. Tentokrát ovšem nechal databázi citlivých informací napospas hackerům. Společnost tvrdí, že šlo o chybu jednoho ze zaměstnanců.
K oblíbeným
reklama
Gearbest patří k nejznámějším čínským obchodům, které své zboží doručují po celém světě. V nabídce nalezneme gadgety za pár dolarů (s dopravou zdarma) i levné smartphony, které mnohdy ani na tuzemském trhu neseženete. Část zboží navíc začala společnost posílat z českého skladu, takže odpadají problémy s proclením a nekonečně dlouhé čekání na doručení balíčku. Tentokrát se ovšem na Gearbest podíváme z hlediska zabezpečení. První problémy měl e-shop koncem roku 2017, ale nejspíš se z kauzy uniklých přihlašovacích údajů nepoučil. Tedy určitě ne dostatečně.
 
 
Tento měsíc totiž bylo objeveno, že databáze společnosti zůstala takřka bez jakéhokoliv zabezpečení, takže hackeři měli otevřené dveře k datům o zákaznících. Naštěstí na problém nejprve upozornila skupina tzv. etických hackerů, kterou vede Noam Rotem. Jeho cílem není nabourávat servery za účelem vlastního obohacení, ale proto, aby upozornil na případné chyby v zabezpečení a ochránil tak data ostatních návštěvníků webu. Proto tým nejprve kontaktoval Gearbest a společnost Globalegrow, která tento e-shop provozuje. Ani přes opakované urgence nedostali odpověď.
 
Jedná se přitom o závažný problém, který se týká až milionů zákazníků Gearbestu a dalších e-shopů stejného provozovatele (např. Zaful, Rosegal nebo DressLily). Případný „zlý“ hacker by mol získat nezašifrované e-mailové adresy a hesla k uživatelským účtům. A jelikož řada uživatelů stále používá stejné přihlašovací údaje k více službám, jedná se o poměrně cenná data, která by útočník mohl zpeněžit na černém trhu. Kromě toho databáze odkryla celé jméno zákazníků, jejich poštovní adresu, telefonní číslo, datum narození nebo IP adresu, v některých případech také informace o dokladech totožnosti. To už je dost údajů k ukradení identity.
 
 
Ačkoliv neunikla čísla platebních karet, u některých platebních metod (např. brazilské banky Boleto) nebyl větší problém se dostat až citlivým informacím o platbě včetně čísla účtu nebo seznamu účtenek. Dalšími problematickými údaji, která byla vystavena případným útočníkům, je historie objednávek. To může být zvlášť nepříjemné v situacích, kdy si zákazník objednával např. sexuální pomůcky. V některých zemích je přitom pohled na sexualitu výrazně odlišný od toho, jaký známe ze západního světa, homosexualita je v některých režimech dokonce trestná. Pro skupinu etických hackerů přitom nebyl problém dohledat takové objednávky z Pákistánu spolu s kompletními údaji o zákazníkovi. Tím Gearbest ohrožuje nejen soukromí, ale dokonce i bezpečnost.
 
Kauza přitom ukázala i problém s tím, jaká uživatelská data Gearbest shromažďuje o svých zákaznících. Patří mezi ně IP adresa, která přitom není důležitá pro vyřízení objednávky. E-shop dokonce ohrozil i svůj vlastní provoz, neboť hackeři se dostali i do interního systému, mohli tak snadno vyřadit z provozu jednotlivé části serverů a vyřadit tak systém objednávek nebo systém pro správu skladů. Gearbest poslal webu Androidpolice.com, který o problému informoval později, vyjádření. V něm uvádí, že základní databáze a data jsou chráněna šifrováním, ale problém se objevil u některého z externích nástrojů, který společnost využívá, aby nedošlo k přetížení systému.
 
Interní vyšetřování mělo odhalit, že jeden z pracovníků vypnul firewall chránící externí nástroj, proto mohlo dojít k odhalení dat u objednávek provedených od 1. do 15. března 2019. Celkem se mělo jednat o 280 tisíc zákazníků. Gearbest tvrdí, že chybu opravil do dvou hodin od jejího detekování a chystá provést opatření, aby se už v budoucnu neopakovala.
 


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
Microsoft bojuje proti volně šířenému CCleaneru na Windows 10 Microsoft bojuje proti volně šířenému CCleaneru na Windows 10
CCleaner je populární aplikace, kterou uživatelé nechávají čistit operační systém od nepotřebného softwaru, jeho zbytků či čehokoliv, co nepotřebují. Windows Defender ale nyní tento software vidí jako "potenciálně nechtěnou aplikaci". Proč?
Dnes, aktualita, Jan Vítek
Windows na Chromebooku? Půjde to snadněji, ale ne pro všechny Windows na Chromebooku? Půjde to snadněji, ale ne pro všechny
Google se rozhodl zasadit o to, aby byly v chromeboocích dostupné aplikace z Windows. Tato možnost bude ovšem přístupná pouze pro podnikovou sféru. Na cestě je ovšem i další, tentokrát neoficiální způsob.
Dnes, aktualita, Jáchym Šlik
Mini PC Asus PN50 s Ryzen Renoir přijdou příští měsíc Mini PC Asus PN50 s Ryzen Renoir přijdou příští měsíc
Už příští měsíc se dočkají zákazníci, kteří by si rádi pořídili nové malé PC se slušnou moderní výbavou, jakou nabízí APU Ryzen 4000 mobilní řady. Jedná se o počítače Asus PN50 ve stylu formátu Intel NUC. 
Dnes, aktualita, Jan Vítek
Viceprezident Ubisoftu opouští svou pozici uprostřed interního vyšetřování Viceprezident Ubisoftu opouští svou pozici uprostřed interního vyšetřování
Společnost Ubisoft se stále otřásá v základech, jak probíhá interní vyšetřování toho, co vypadá na celou kulturu sexuálního obtěžování a zneužívání. Nyní společnost opouští viceprezident Tommy François. 
Dnes, aktualita, Jan Vítek
Útočníci zveřejnili interní data LG a Xeroxu po neúspěšném vydírání Útočníci zveřejnili interní data LG a Xeroxu po neúspěšném vydírání
Letos v červnu měl známý ransomwarový gang napadnout servery několika významných společností, ale použil přitom jiný postup, než bychom očekávali. Po neúspěšném vydírání nyní útočníci zveřejnili desítky gigabajtů interních dat.
Dnes, aktualita, Jáchym Šlik1 komentář