Teymi tölvuþrjóta frá VPNMentor að kínverski netverslunarrisinn Gearbest geymir gögn viðskiptavina í aðgengilegum gagnagrunnum.
Strákarnir frá VPNMentor uppgötvuðu nokkra ótryggða Elasticsearch gagnagrunna (vísitölur) með milljónum skráa sem innihalda persónuleg gögn viðskiptavina, pöntunarupplýsingar og greiðslugögn.
Allt þetta efni er stutt og notað af Gearbest versluninni, en síða hennar er meðal 250 stærstu vefsíðna á öllu internetinu. Gerbest selur helstu vörumerki eins og Asus, Huawei, Intel og Lenovo, sendir til meira en 250 landa og styður staðbundnar útgáfur af versluninni á 18 tungumálum.
Alls fundust þrír frjálst aðgengilegir gagnagrunnar sem innihalda samtals meira en 1.5 milljónir gagna:
- Pöntunargagnagrunnur – inniheldur vörur og afhendingarföng þeirra, netföng kaupenda, nöfn þeirra og IP tölur.
- Greiðslugagnagrunnur – samanstendur af pöntunarnúmerum, greiðslutegundum, greiðsluupplýsingum, nöfnum viðskiptavina og IP tölum þeirra.
- Viðskiptavinagagnagrunnur - inniheldur nöfn viðskiptavina, fæðingardaga þeirra, heimilisföng, símanúmer, tölvupóst, IP tölur, vegabréf og jafnvel lykilorð til að fá aðgang að pöntunum.
Mikilvægast er að þessi gagnagrunnur sé uppfærður, þ.e. Nýjar línur með gögnum um nýjar pantanir eru skrifaðar inn í það.
Heimild: www.habr.com
