Комманда хакеров из VPNMentor обнаружила, что китайский гигант онлайн торговли Gearbest хранит данные покупателей в легкодоступных базах данных.
Ребята из VPNMentor обнаружили несколько незащищенных баз данных (Indices) Elasticsearch с миллионами записей, содержащих персональные данные покупателей, информацию о заказах и данные платежей.
Все это добро поддерживается и используется магазином Gearbest, чей сайт входит в Топ 250 крупнейших вебсайтов всего интернета. Gerbest торгует такими крупными брендами как Asus, Huawei, Intel и Lenovo, осуществляет доставку в более чем 250 стран мира и поддерживает локальные версии магазина на 18 языках.
Всего было найдено три свободно доступных базы данных, суммарно содержащих более 1.5 млн. записей:
- База заказов – содержит товары и адреса их доставки, электронная почта покупателей, их имена, и IP-адреса.
- База платежей – состоит из номеров заказов, типов платежей, платежной информации, имен покупателей и их IP-адресов.
- База покупателей – содержит имена покупателей, их даты рождения, адреса, телефонные номера, емейлы, IP-адреса, паспорта и даже пароли доступа к заказам.
Самое главное, что эта база данных обновляется, т.е. в нее записываются новые строки с данными новых заказов.
Автор: FedorVasilevich