Macie konto na Gearbest? Wasze dane były niemalże publiczne!

Macie konto na Gearbest? Wasze dane były niemalże publiczne!

Opublikowano 20.03.2019 8:17 -


Gearbest to jeden z najpopularniejszych sklepów z elektroniką i smartfonami na świecie, oferujący szereg eklektycznych urządzeń z Chin i nie tylko. Niestety wygląda na to, że strona nie zadbała odpowiednio o bezpieczeństwo danych jego użytkowników, w związku z czym nawet 1.5 miliona kont jest zagrożone!

Przez serwery Gearbest przechodzą codziennie miliony zamówień na najprzeróżniejsze rzeczy - od plastikowych trzymaków do kabli po pojazdy elektryczne i komputery. Jest to zatem pokaźna baza danych nie tylko o danych osobowych, ale i historii zakupów. Jak się nie jednokrotnie okazało, taka historia też może okazać się kłopotliwa, jeżeli zostanie odpowiednio połączona z właścicielem.

Zespół z VPNMentor odkrył, że baza danych użytkowników Gearbest jest „całkowicie niezabezpieczona”. Zespół stwierdził, że mieli dostęp do niemalże dowolnych informacji. Były to nazwiska, numery identyfikacyjne, numery paszportów, historie zamówień, adresy wysyłkowe, szczegóły płatności, adresy e-mail i hasła.

Co na to Gearbest?

Zespół, dzięki któremu wiemy o tym problemie, twierdzi, że już na początku tego miesiąca wiedział o luce w zabezpieczeniach. W tamtym momencie mieli oni bezpośredni dostęp do 1,5 miliona rekordów. Poinformowali oni o problemie serwis oraz jego firmę macierzystą, ale nie spotkali się ze zrozumieniem.

Niedawno Gearbest wydał jednak oświadczenie za pomocą serwisu Android Police. Tłumaczy w nim, że jego baza danych i serwery są „absolutnie bezpieczne”, ale z drugiej strony potwierdzają, że możliwy był dostęp do poziomu zarządzania danymi firm trzecich z zewnątrz. Takie tłumaczenie nie jest dla mnie jasne, ale Gearbest tłumaczy:

„Narzędzia zewnętrznych firm, których używamy, mają na celu poprawę wydajności i zapobieganie przeciążeniu serwerów. Dane są przechowywane w takich narzędziach przez mniej niż trzy dni kalendarzowe, po czym zostają automatycznie usunięte”. Dodaje na koniec, że zabezpieczenia chroniące owe narzędzia również spełniają wszystkie wymogi.

Luka to czeski błąd

„Nasze dochodzenie ujawnia jednak, że 1 marca 2019 r. zapory zostały omyłkowo usunięte przez jednego z członków naszego zespołu bezpieczeństwa. Powód jest nadal przedmiotem dochodzenia. Taki stan pozwolił na dostęp do narzędzi bez dalszego uwierzytelniania. ”

To nie jest pierwszy raz, kiedy Gearbest został przyłapany na słabych zabezpieczeniach swoich baz. Ciężko mi tym bardziej zrozumieć "wyłączenie zabezpieczeń" przez jednego z pracowników. Pozostaje mi zachęcić wszystkich użytkowników tego sklepu do regularnych zmian haseł, aby zminimalizować skutki ich wycieku.