Tim hakera iz VPNMentor taj kineski online maloprodajni div Gearbest podatke o kupcima pohranjuje u lako dostupne baze podataka.
Dečki iz VPNMentora otkrili su nekoliko nezaštićenih Elasticsearch baza podataka (Indices) s milijunima zapisa koji sadrže osobne podatke o klijentima, informacije o narudžbama i podatke o plaćanju.
Sve te stvari podržava i koristi Gearbest store čija je stranica među Top 250 najvećih web stranica na cijelom Internetu. Gerbest prodaje velike robne marke kao što su Asus, Huawei, Intel i Lenovo, dostavlja u više od 250 zemalja i podržava lokalne verzije trgovine na 18 jezika.
Ukupno su pronađene tri slobodno dostupne baze podataka koje sadrže ukupno više od 1.5 milijuna zapisa:
- Baza podataka o narudžbama – sadrži proizvode i njihove adrese za dostavu, adrese e-pošte kupaca, njihova imena i IP adrese.
- Baza podataka o plaćanju – sastoji se od brojeva naloga, vrsta plaćanja, podataka o plaćanju, imena kupaca i njihovih IP adresa.
- Baza podataka kupaca - sadrži imena kupaca, njihove datume rođenja, adrese, telefonske brojeve, e-mailove, IP adrese, putovnice pa čak i lozinke za pristup narudžbama.
Najvažnije je da se ta baza ažurira, tj. U njega se upisuju novi reci s podacima novih naloga.
Izvor: www.habr.com
