Equip de pirates informàtics de VPNMentor el gegant xinès de la venda al detall en línia Gearbest emmagatzema les dades dels clients en bases de dades de fàcil accés.
Els nois de VPNMentor van descobrir diverses bases de dades d'Elasticsearch (índexs) no segures amb milions de registres que contenien dades personals de clients, informació de comandes i dades de pagament.
Totes aquestes coses són compatibles i utilitzades per la botiga Gearbest, el lloc de la qual es troba entre els 250 llocs web més grans de tot Internet. Gerbest ven marques tan importants com Asus, Huawei, Intel i Lenovo, lliura a més de 250 països i admet versions locals de la botiga en 18 idiomes.
En total, s'han trobat tres bases de dades de lliure accés, que contenen un total de més d'1.5 milions de registres:
- Base de dades de comandes: conté productes i les seves adreces de lliurament, adreces de correu electrònic dels compradors, els seus noms i adreces IP.
- Base de dades de pagament: consta de números de comanda, tipus de pagament, informació de pagament, noms de clients i les seves adreces IP.
- Base de dades de clients: conté els noms dels clients, les seves dates de naixement, adreces, números de telèfon, correus electrònics, adreces IP, passaports i fins i tot contrasenyes per accedir a les comandes.
El més important és que aquesta base de dades estigui actualitzada, és a dir. S'escriuen línies noves amb dades de noves comandes.
Font: www.habr.com
