Zakupy w chińskich sklepach są dość popularnym w naszym kraju hobby, a dla niektórych także źródłem zarobku. Towar bywa także dobrej jakości, a ceny są niskie. Ceną może być także bezpieczeństwo naszych danych.
Noam Rotem, zajmujący się analizami bezpieczeństwa, natrafił w sieci na ciekawą bazę danych. Okazała się nią otwarta dla każdego zwiedzającego instancja Elasticsearch, zawierająca setki tysięcy rekordów dotyczących zakupów i klientów jednego z największych sklepów internetowych świata, chińskiego Gearbest.
Baza leży i czeka
Jak opisuje serwis TechCrunch, pierwsze ślady dostępności bazy w sieci sięgają 7 marca. Na jej trop mógł (i podobno nadal może) natrafić każdy, kto uda się na poszukiwania. Zidentyfikowana baza danych zawiera dane klientów firmy oraz zakupów, jakich dokonali w serwisie. Znaleźć tam można takie informacje jak imię, nazwisko, adres e-mail, numer telefonu, adres dostawy, adres IP, data urodzenia, nazwy zakupionych przedmiotów, a także w niektórych przypadkach numer dokumentu tożsamości klienta. Baza ma podobno zawierać również informacje o sposobie płatności za zakupy. Według odkrywcy baza zawiera ponad półtora miliona rekordów, a nowe napływają regularnie.
Brak reakcji Gearbest?
Autor odkrycia twierdzi, że informacje o zidentyfikowanej bazie przekazał firmie Gearbest, jednak nie otrzymał żadnej informacji zwrotnej, a baza rzekomo nadal dostępna jest w sieci.
Nietypowy raport o odkryciu
Musimy zwrócić Waszą uwagę na pewne fakty, które są w tym przypadku dość nietypowe. Obszerny raport o wycieku opublikował serwis VPN Mentor, zajmujący się pośrednictwem w sprzedaży usług VPN. Nie linkujemy do niego, gdyż w artykule jego twórców znajdują się dość natrętne linki zachęcające do kupowania usług VPN lub pozycjonujące ich witrynę, a do takich serwisów nie mamy zbyt wielkiego zaufania. Z kolei sam raport znacząco odbiega od standardów. Znajduje się w nim bardzo mało informacji technicznych, a niektóre opisy są bardzo niejednoznaczne. Autor np. wspomina, że „część rekordów” używała „częściowego haszowania” adresów e-mail. Co to oznacza, pozostaje nam tylko zgadywać. Także opis przebiegu zgłaszania problemu właścicielowi bazy pozostawia wiele do życzenia – brak na przykład dat prób kontaktu. Wiele miejsca poświęcono również kwestii ujawnienia danych osób kupujących wibratory, podczas gdy nie ma ani dokładnych statystyk objętości samej bazy, informacji, czy zawiera dane wszystkich klientów, czy tylko wybranych, ani informacji technicznych. Sama dostępność danych w sieci nie budzi wątpliwości, lecz detale incydentu (lub przynajmniej sposób lub brak ich ujawnienia) pozostawiają sporo do życzenia.
Czy zmieniać hasło?
Autor informacji o wycieku wskazuje, że w bazie miały znajdować się hasła klientów Gearbest. Nie wiadomo, czy całe, czy hasze haseł, czy wszystkich klientów – ale w takiej sytuacji lepiej jest je zmienić, niż żałować.
Komentarze
Hasło zmienione, ale jeżeli to jest baza live, to za wiele to nie pomoże…
A jak się logowało przez Google+?
Mogą mieć maila, mogą mieć ID twojego konta, również mogą mieć token autoryzacyjny i w zależności od przydzielonych scopów, mogą w najmniejszym wypadku mieć dostęp do podstawowych danych, tj emaila i ID twojego konta google.
Aha, a ze zmianą hasła to w ogóle jest przygoda. Moje hasło jest dosyć długie (generowane przez manager haseł), ale formularz do zmiany hasła ma ustawione ograniczenie do 32 znaków, więc nie da się poprawnie wpisać starego hasła… Na szczęście ograniczenie jest tylko w html, serwer tego nie sprawdza, więc wystarczy wyedytować w devtools i bangla.
A ja próbuję zmienić hasło, ale po zalogowaniu się i wpisaniu tegoż hasła jako obecnego i podaniu dwa razy nowego (wszystko generowane z keepassa), Gearbest twierdzi, żę moje oryginalne hasło się nie zgadza. WTF? Obcinają do 16 znaków czy jak?
Tak, zobacz mój komentarz wyżej.
Fake news, juz zweryfikowalem na podstawie reszty ich „newsow” z dupy. To jakis portalik, ktorego teksciarze maja twarze ze stocka.
Tylko że tego potwierdził TechCrunch a to akurat zaufane źródło.
raczej dobrze że mają twarze ze stocka
pod swoim nazwiskiem nie o wszystkim można powiedzieć
Gearbest właśnie przysłał email z zaleceniem zmiany hasła:
Dear Customer,
Thank you for your recent registration on Gearbest.
Customers’ information security is our priority, and we work hard to ensure protection of such information implementing all available methods in the market.
In this context, we have found that some customers’ account information (username and password) could have been compromised. Although we have already fixed the issue and made your account data fully secure, your account password has been disabled.
Please log in to your Gearbest account to reset a new password.
We remain at your entire disposal for any questions you may have.
King Regards
Gearbest
Witam, u mnie brak jakiejkolwiek wiadomości od GB w tej sprawie. Hasło nie zostało zresetowane… a danych poza śmieciowym @ nie posiadają…
pozdrawiam
Cześć,
Zmieniłem hasło i dane w koncie,
Jednak w każdym zamówieniu nadal widnieją szczegółowe dane osobiste,
poprosiłem Gearbest o usuniecie
tych danych z zamówień i usunęli…całe konto :|
Chinese stajla…
A jak ty to chciałeś inaczej załatwić? xD
Dzięki, zmienię dostawcę wibratorów
U mnie wykradli dane że sklepu. Dostałem maila z żądaniem okupu w bitcoin. Czyli stały numer. Hasło zmieniłem ale napisałem o usunięcie konta. Zacząłem skanować kompa rożnymi programami i Comodo essential znalazł ukryty zbiór jako rootkit w cache Firefox i ukryty klucz w rejestrze Comodo. Comodo odinstalowałem i szukam czegoś innego tylko czego? Nie wiem czy faktycznie coś było czy nie.