www.svethardware.cz
>
>

E-shop Gearbest nechal data zákazníků bez ochrany

E-shop Gearbest nechal data zákazníků bez ochrany
, , aktualita
Populární čínský e-shop Gearbest řešil problém s nedostatečným zabezpečením už v minulosti. Tentokrát ovšem nechal databázi citlivých informací napospas hackerům. Společnost tvrdí, že šlo o chybu jednoho ze zaměstnanců.
K oblíbeným
reklama
Gearbest patří k nejznámějším čínským obchodům, které své zboží doručují po celém světě. V nabídce nalezneme gadgety za pár dolarů (s dopravou zdarma) i levné smartphony, které mnohdy ani na tuzemském trhu neseženete. Část zboží navíc začala společnost posílat z českého skladu, takže odpadají problémy s proclením a nekonečně dlouhé čekání na doručení balíčku. Tentokrát se ovšem na Gearbest podíváme z hlediska zabezpečení. První problémy měl e-shop koncem roku 2017, ale nejspíš se z kauzy uniklých přihlašovacích údajů nepoučil. Tedy určitě ne dostatečně.
 
 
Tento měsíc totiž bylo objeveno, že databáze společnosti zůstala takřka bez jakéhokoliv zabezpečení, takže hackeři měli otevřené dveře k datům o zákaznících. Naštěstí na problém nejprve upozornila skupina tzv. etických hackerů, kterou vede Noam Rotem. Jeho cílem není nabourávat servery za účelem vlastního obohacení, ale proto, aby upozornil na případné chyby v zabezpečení a ochránil tak data ostatních návštěvníků webu. Proto tým nejprve kontaktoval Gearbest a společnost Globalegrow, která tento e-shop provozuje. Ani přes opakované urgence nedostali odpověď.
 
Jedná se přitom o závažný problém, který se týká až milionů zákazníků Gearbestu a dalších e-shopů stejného provozovatele (např. Zaful, Rosegal nebo DressLily). Případný „zlý“ hacker by mol získat nezašifrované e-mailové adresy a hesla k uživatelským účtům. A jelikož řada uživatelů stále používá stejné přihlašovací údaje k více službám, jedná se o poměrně cenná data, která by útočník mohl zpeněžit na černém trhu. Kromě toho databáze odkryla celé jméno zákazníků, jejich poštovní adresu, telefonní číslo, datum narození nebo IP adresu, v některých případech také informace o dokladech totožnosti. To už je dost údajů k ukradení identity.
 
 
Ačkoliv neunikla čísla platebních karet, u některých platebních metod (např. brazilské banky Boleto) nebyl větší problém se dostat až citlivým informacím o platbě včetně čísla účtu nebo seznamu účtenek. Dalšími problematickými údaji, která byla vystavena případným útočníkům, je historie objednávek. To může být zvlášť nepříjemné v situacích, kdy si zákazník objednával např. sexuální pomůcky. V některých zemích je přitom pohled na sexualitu výrazně odlišný od toho, jaký známe ze západního světa, homosexualita je v některých režimech dokonce trestná. Pro skupinu etických hackerů přitom nebyl problém dohledat takové objednávky z Pákistánu spolu s kompletními údaji o zákazníkovi. Tím Gearbest ohrožuje nejen soukromí, ale dokonce i bezpečnost.
 
Kauza přitom ukázala i problém s tím, jaká uživatelská data Gearbest shromažďuje o svých zákaznících. Patří mezi ně IP adresa, která přitom není důležitá pro vyřízení objednávky. E-shop dokonce ohrozil i svůj vlastní provoz, neboť hackeři se dostali i do interního systému, mohli tak snadno vyřadit z provozu jednotlivé části serverů a vyřadit tak systém objednávek nebo systém pro správu skladů. Gearbest poslal webu Androidpolice.com, který o problému informoval později, vyjádření. V něm uvádí, že základní databáze a data jsou chráněna šifrováním, ale problém se objevil u některého z externích nástrojů, který společnost využívá, aby nedošlo k přetížení systému.
 
Interní vyšetřování mělo odhalit, že jeden z pracovníků vypnul firewall chránící externí nástroj, proto mohlo dojít k odhalení dat u objednávek provedených od 1. do 15. března 2019. Celkem se mělo jednat o 280 tisíc zákazníků. Gearbest tvrdí, že chybu opravil do dvou hodin od jejího detekování a chystá provést opatření, aby se už v budoucnu neopakovala.
 


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
NASA pátrá po zbytcích Beresheet, přežít mohlo laserové "zrcátko" NASA pátrá po zbytcích Beresheet, přežít mohlo laserové "zrcátko"
Beresheet narazil do Měsíce rychlostí, že neměl šanci přežít v celku, ovšem NASA předpokládá, že zařízení Lunar Retroreflector Array (LRA) přežít mohlo. Jeho úkolem je odrážet laserové paprsky a přesně tak se jej NASA pokusí najít.
19.4.2019, aktualita, Jan Vítek
Sega Mega Drive Mini jsou k předobjednání Sega Mega Drive Mini jsou k předobjednání
Nedávno byly představeny nové mini-retro konzole Sega Mega Drive Mini, které mají dorazit na trh během letošního září. Sega přitom změnila vývojářský tým, který na nich pracuje a slíbila další hry nad rámec těch původně slíbených. 
19.4.2019, aktualita, Jan Vítek
NASA konečně detekovala nejstarší typ molekul vesmíru NASA konečně detekovala nejstarší typ molekul vesmíru
Už dlouho se předpokládá, že pravděpodobně nejstarší typ molekul ve vesmíru byla HeH, čili prostý dvouprvkový hydrid helia. Je to celkem logické uvažování, když helium a vodík jsou nejstarší prvky. Až nyní to ale máme potvrzeno pozorováním.
19.4.2019, aktualita, Jan Vítek
Jiří Olšanský 'Rik_Leah': co to znamená být streamer? Jiří Olšanský 'Rik_Leah': co to znamená být streamer?
YouTube je sice coby platforma pro upload videí nadále velmi populární, ale v případě pravidelného streamování (živého vysílání i několik hodin v kuse) se těší větší oblibě Twitch.tv. Přinášíme vám tak rozhovor s někým, kdo se tomu už delší dobu věnuje.
19.4.2019, rozhovor, Karel Polívka
Video: Kolik robotů SpotMini od Boston Dynamics utáhne náklaďák? Video: Kolik robotů SpotMini od Boston Dynamics utáhne náklaďák?
Společnost Boston Dynamics, která je známá svými pokročilými roboty, zveřejnila na YouTube krátké video, ve němž předvádí další kousky, které jsou její stroje schopné vykonat. Tentokrát se zaměřila na celou smečku robotů SpotMini. 
18.4.2019, aktualita, Kateřina Hoferková