Активісти групи vpnMentor на чолі з етичним хакером Ноамом Ротем знайшли уразливості в базі даних одного з найбільших інтернет-магазинів Китаю GearBest. Своє дослідження вони детально описали і опублікували на сайті.
Усього хакери отримали понад 1,5 млн записів, серед яких бази замовлень, користувачів, платежів і рахунків. У їх число увійшли наступні дані:
- ПІБ і дата народження.
- Електронна адреса та пароль від аккаунта.
- Номер та серія паспорта.
- Поштова адреса та IP.
- Платіжні дані.
Для демонстрації можливостей хакери увійшли в один з акаунтів, отримали доступ до історії платежів і змінили пароль.
Проблема виявилася в сервері баз даних Elasticsearch, який використовує корпорація Globalegrow. Він не був захищений паролем, що дозволило не тільки переглянути всю інформацію, а й отримати доступ до внутрішньої системи управління даними.
Представники GearBest поки проблему не визнали і стверджують, що всі секретні дані зберігаються в зашифрованому вигляді. За законом про захист персональних даних і конфіденційності (GDPR) Євросоюзу компанія може бути оштрафована на суму до 4 відсотків від її глобального доходу.
GearBest входить в число 250 найбільших світових онлайн-майданчиків. У 2015 році продажі склали 550 млн доларів, в 2017 році оборот холдингу досяг 1,48 млрд доларів.