תוֹכֶן
- מאגרי המידע השייכים לקמעונאית האלקטרוניקה הפופולרית Gearbest, ככל הנראה, הושארו חשופים על ידי המשרד.
- צוות אבטחה של כובע לבן טען כי ניתן היה להשיג יותר ממיליון וחצי רשומות, כולל פרטי כניסה.
- Gearbest טען מאז כי האשמים באירוע היו כלי ניהול נתונים של צד שלישי.
Gearbest היא אחת מחנויות האלקטרוניקה והסמארטפונים הפופולריות ביותר בעולם, והיא מספקת מגוון מכשירים אקלקטיים מסין ומעבר לה. לרוע המזל נראה שהאתר לא דאג למידע המשתמש שלו בצורה מספקת.
צוות אבטחת כובע לבן מ- VPNMentor (h / t: משטרת אנדרואיד) גילה שמסד הנתונים של Gearbest הוא "לא מאובטח לחלוטין." הצוות אמר שההאקרים שלו הצליחו לגשת למאגרי מידע שונים הקשורים להזמנות, תשלומים ומידע כללי על המשתמשים.
על פי הדיווחים, מידע מפוצץ כלל שמות, מספרי תעודות זהות, מספרי דרכון, היסטוריות הזמנות, כתובות משלוח, פרטי תשלום, כתובות דוא"ל וסיסמאות.
הצוות טען כי הוא הצליח לגשת למידע זה מוקדם יותר החודש, והוסיף כי הוא גילה מעל 1.5 מיליון רשומות. יתר על כן, הצוות אמר כי הוא פנה שוב ושוב לגירבסט ולחברת האם שלה כדי להודיע להם על ההפרה, אך לא קיבלו תגובה.
Gearbest מסביר הפרה
הקמעונאי המקוון פרסם הודעה דרך משטרת אנדרואידעם זאת, טענו כי מאגרי המידע והשרתים שלה היו "בטוחים לחלוטין." האתר אמר כי עם זאת, אחרים עשויים לגשת לכלי ניהול נתונים של צד שלישי.
"הכלים החיצוניים שאנו משתמשים בהם נועדו לשפר את היעילות ולמנוע עומס על נתונים והנתונים יאוחסנו רק בכלים כאלה פחות משלושה ימים קלנדריים לפני שהם ייהרסו אוטומטית", הסביר האתר ואמר כי הוא השתמש ב"חומות אש חזקות " כדי להגן על כלים אלה.
"עם זאת, מחקירתנו עולה כי ב -1 במרץ, 2019, חומת אש כזו הוסרה בטעות על ידי אחד מאנשי צוות האבטחה מסיבות שעדיין נבדקות. סטטוס לא מוגן כזה חשף ישירות את הכלים הללו לסריקה וגישה ללא אימות נוסף. "
Gearbest מעריך שמשתמשים המושפעים מוגבלים לכ- 280,000 משתמשים שהזמינו פריטים בין 1 במרץ ל 15- במרץ. היא הוסיפה כי היא תשלח דוא"ל לכל המשתמשים שנפגעו, תוך "הפעלה" של סיסמאות המשתמשים הרשומים החדשים.
זו לא הפעם הראשונה שגירבסט נקלע למצב כזה, שכן בערך 150 רשומות משתמשים שהגיעו בעבר לאינטרנט בדצמבר 2017. בזמן האירוע, האתר אמר כי סביר להניח שהאקרים קנו או רכשו מידע על כניסה למשתמשים מאת באתרים אחרים והשתמשו בפרטים אלה כדי להיכנס לחשבונות Gearbest.
