Tim hakera iz VPNMentora da kineski gigant online maloprodaje Gearbest pohranjuje podatke o kupcima u lako dostupnim bazama podataka.
Momci iz VPNMentor-a otkrili su nekoliko neosiguranih Elasticsearch baza podataka (Indeces) sa milionima zapisa koji sadrže lične podatke korisnika, informacije o narudžbi i podatke o plaćanju.
Sve ove stvari podržava i koristi prodavnica Gearbest, čija je stranica među 250 najvećih web stranica na cijelom Internetu. Gerbest prodaje velike brendove kao što su Asus, Huawei, Intel i Lenovo, isporučuje u više od 250 zemalja i podržava lokalne verzije trgovine na 18 jezika.
Ukupno su pronađene tri slobodno dostupne baze podataka koje sadrže ukupno više od 1.5 miliona zapisa:
- Baza podataka o narudžbama – sadrži proizvode i njihove adrese za dostavu, adrese e-pošte kupaca, njihova imena i IP adrese.
- Baza podataka o plaćanju – sastoji se od brojeva naloga, vrsta plaćanja, informacija o plaćanju, imena kupaca i njihovih IP adresa.
- Baza podataka kupaca – sadrži imena kupaca, njihove datume rođenja, adrese, brojeve telefona, e-mailove, IP adrese, pasoše, pa čak i lozinke za pristup narudžbi.
Najvažnije je da se ova baza podataka ažurira, tj. U njega se upisuju novi redovi sa podacima novih naloga.
izvor: www.habr.com
