Хакер Ноам Ротем и возглавляемая им группа vpnMentor обнаружили серьёзнейшие уязвимости в китайском интернет-магазине Gearbest. Им удалось получить доступ к личной информации 1,5 млн клиентов: их ФИО, даты рождения, адреса электронной почты, пароли в открытом виде, номера паспортов, IP-адреса, почтовые адреса и номера банковских карт.
Исследователи смогли зайти в несколько учётных записей, сменить пароль, узнать историю заказов, а также увидеть накопленные бонусные баллы и личные данные. Полученной информации может быть достаточно для того, чтобы зайти в банковские кабинеты взломанных пользователей или оформить замену SIM-карт через оператора.
TechCrunch считает, что эта уязвимость создаёт угрозу жителям стран, где ограничены гражданские свободы и добрачные отношения. Дело в том, что Gearbest торгует в том числе интимными товарами, а поскольку в магазине содержится подробная информация об оформленных заказах, утечка может привести к преследованию покупателей со стороны властей и контролируемых ими активистов. Представители Gearbest не отреагировали на уведомление о публикации и не ответили на запрос TechCrunch.
Специалисты vpnMentor также получили доступ к Kafka — внутренней системе управления данными компании Globalegrow, которой принадлежит Gearbest и несколько других интернет-магазинов, в том числе Zaful, Rosegal и DressLily. С помощью Kafka можно манипулировать базами данными и отключать сервера магазинов, что приведёт к перебоям приёма заказов и отправки товаров.
Gearbest рассылает товары по всему миру, и владеет складами в разных странах, включая Евросоюз, где действует регламент по защите персональных данных GDPR. Компаниям, которые нарушают установленные этим регламентом нормы, грозит большой штраф — 4% от годовой выручки.
iGuides в Telegram — t-do.ru/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
