قراصنة تمكنت من الوصول إلى كافة مستخدمي GearBest البيانات (محدثة)
أخبار / / December 19, 2019
اكتشف فريق البحث جدية قواعد البيانات الضعف VPNMentor على الانترنت تخزين GearBest. وفقا للخبراء، ونظام حماية معلومات العملاء ليست في كل ما قيل في التفاصيل بشكل كبير تقرير.
قراصنة VPNMentor، اختبار حماية GearBest، اكتسبت بسهولة الوصول إلى أسماء العملاء، وبياناتهم جواز سفر، وكلمات السر، وحسابات وعناوين التسليم، والبريد الإلكتروني، والعنوان الفعلي، وأرقام الهواتف، وقوائم العناصر التي تم شراؤها، وغيرها من المعلومات الحساسة جدا.
باستخدام هذه البيانات، وكانت قادرة على الدخول في بنفس الطريقة كما لو أنها مملوكة لهم وفي العديد من حسابات اختبار. قد المهاجمين ثم تغيير جميع المعلومات الشخصية، وعلى سبيل المثال، ببساطة تغيير عنوان التسليم على جميع أوامر.
تفقد حتى شراء أو حساب - أهون الشرور. أكثر خطورة إذا حاول المهاجم لاستخدام البيانات الشخصية التي تم الحصول عليها. في روسيا، هذه المجموعة من البيانات غير كافية للوصول إلى مواقع مثل الخدمات الحكومية، والتطبيقات المصرفية، المعلومات الصحية، وأكثر من ذلك.
وبالإضافة إلى هؤلاء المستخدمين، وصلت قراصنة GearBest نظام إدارة البيانات الداخلية وشركة Globalegrow، وتملك المحل. هذا المستوى من الوصول يجعل من السهل التعامل مع البيانات التجارية، وتغيير خصائص القواعد وحتى إيقاف خادم تماما.
حاول قراصنة VPNMentor لممثلي الاتصال GearBest وGlobalegrow، لإطلاعهم على المشاكل التي تم تحديدها. ولكن في اللحظة التي تلقى أي رد.
تحديث:
ذكرت ممثلي GearBest أنه فور ان التقرير VPNMentor مراجعة داخلية بدأت. وبينت ان قاعدة البيانات الرئيسية مع معلومات العملاء والمعاملات محمية تماما من قبل كل التشفير اللازم. ومع ذلك، يتم تخزين بعض المعلومات السرية مؤقتا في مصادر خارجية، حقا لم حمايتها.
وتستخدم مصادر خارجية لتخزين البيانات GearBest لزيادة كفاءة الخادم ولمنع الحمل الزائد. لا يتم تخزين أي معلومات هناك لأكثر من 3 أيام، ثم حذف تلقائيا. من الوصول غير المصرح به، محمية مثل هذه البيانات بواسطة جدار حماية قوي، ولكن منذ 1 مارس 2019 كانوا إيقاف بطريق الخطأ مع أحد الموظفين.
إلغاء تنشيط جميع أوامر من 1 مارس، إعادة الفحص، وكلمات السر للحسابات التي تم إنشاؤها حديثا. جميع المستخدمين، الذين قد لمس، بعث برسالة لشرح الوضع والظروف من إعادة تنشيط حسابك. ممثلي GearBest تعتذر بصدق عن الحادث والتأكد من أنهم سوف نستمر في تحسين نظامها الأمني، دون المساس بيانات العملاء.