Hackerholdet fra VPNMentor at den kinesiske online detailgigant Gearbest lagrer kundedata i lettilgængelige databaser.
Gutterne fra VPNMentor opdagede adskillige ubeskyttede Elasticsearch-databaser (indekser) med millioner af poster, der indeholdt personlige kundedata, ordreoplysninger og betalingsdata.
Alt dette understøttes og bruges af Gearbest-butikken, hvis hjemmeside er blandt de 250 største hjemmesider på hele internettet. Gerbest sælger store mærker som Asus, Huawei, Intel og Lenovo, sender til over 250 lande og understøtter lokale versioner af butikken på 18 sprog.
I alt tre frit tilgængelige databaser blev fundet, der indeholdt i alt over 1.5 millioner poster:
- Ordredatabase – indeholder produkter og deres leveringsadresser, købers e-mailadresser, deres navne og IP-adresser.
- Betalingsdatabase – består af ordrenumre, betalingstyper, betalingsoplysninger, købernavne og deres IP-adresser.
- Kundedatabase – indeholder kundenavne, fødselsdatoer, adresser, telefonnumre, e-mailadresser, IP-adresser, pas og endda adgangskoder til at få adgang til ordrer.
Det vigtigste er, at denne database opdateres, dvs. at nye linjer med data for nye ordrer skrives ind i den.
Kilde: www.habr.com
