Исследователи получили доступ к аккаунтам, истории заказов, платежной информации, паспортным данным и банковским картам покупателей.

Группа исследователей vpnMentor под руководством этичного хакера Ноама Ротема опубликовала отчет об уязвимости базы данных китайского онлайн-магазина Gearbest. В марте 2019 года хакерам удалось получить доступ к 1,5 млн записей в различных частях баз Gearbest — аккаунтов, заказов, платежей и счетов, данные которых лежат в открытом виде.

Gearbest входит в число 250 ведущих мировых веб-сайтов и продает товары не только малоизвестных китайских производителей, но и таких брендов, как Asus, Huawei, Intel и Lenovo. Магазин принадлежит китайской корпорации Globalegrow, которая также управляет Zaful, Rosegal и DressLily. В 2015 году их продажи составили $550 млн; в 2017 году оборот Globalegrow достиг $1,48 млрд.
Что удалось найти vpnMentor

В базе пользователей исследователи нашли личную информацию покупателей, которую могут украсть злоумышленники:

ФИО и дату рождения;
Адреса электронной почты и пароли от аккаунтов в открытом виде;
Полный почтовый и IP-адреса покупателя;
Номер и серию паспорта покупателя;
Платежные данные.

Для проверки vpnMentor удалось зайти в две учетные записи покупателей, узнать историю заказов, сменить пароль, получить доступ к личной информации и накопленным баллам.



Паспортных и других данных из базы Gearbest может хватить, чтобы получить доступ к банковским приложениям, медицинской информации и сайтам типа «Госуслуг», считают исследователи.



Подробнее