Équipe de hackers de VPNMentor que le géant chinois de la vente au détail en ligne Gearbest stocke les données des clients dans des bases de données facilement accessibles.
Les gars de VPNMentor ont découvert plusieurs bases de données Elasticsearch (indices) non sécurisées contenant des millions d'enregistrements contenant des données personnelles sur les clients, des informations sur les commandes et des données de paiement.
Tout cela est pris en charge et utilisé par la boutique Gearbest, dont le site figure parmi les 250 plus grands sites Web de l'ensemble d'Internet. Gerbest vend des marques aussi importantes que Asus, Huawei, Intel et Lenovo, livre dans plus de 250 pays et prend en charge les versions locales du magasin en 18 langues.
Au total, trois bases de données librement accessibles ont été trouvées, contenant au total plus de 1.5 million d'enregistrements :
- Base de données des commandes – contient les produits et leurs adresses de livraison, les adresses e-mail des acheteurs, leurs noms et Adresses IP.
- Base de données de paiement – comprend les numéros de commande, les types de paiement, les informations de paiement, les noms des clients et leurs adresses IP.
- Base de données clients - contient les noms des clients, leurs dates de naissance, leurs adresses, numéros de téléphone, e-mails, adresses IP, passeports et même mots de passe pour accéder aux commandes.
Le plus important est que cette base de données soit mise à jour, c'est-à-dire De nouvelles lignes contenant les données des nouvelles commandes y sont écrites.
Source: habr.com
