צוות האקרים מבית VPNMentor שענקית הקמעונאות המקוונת הסינית Gearbest מאחסנת נתוני לקוחות במאגרי מידע נגישים בקלות.
החבר'ה מ-VPNMentor גילו כמה מאגרי מידע לא מאובטחים של Elasticsearch (מדדים) עם מיליוני רשומות המכילות נתוני לקוחות אישיים, פרטי הזמנות ונתוני תשלום.
כל הדברים האלה נתמכים ומשמשים את חנות Gearbest, שהאתר שלה הוא בין 250 האתרים הגדולים ביותר באינטרנט כולו. Gerbest מוכרת מותגים גדולים כמו Asus, Huawei, Intel ולנובו, מספקת ליותר מ-250 מדינות ותומכת בגרסאות מקומיות של החנות ב-18 שפות.
בסך הכל נמצאו שלושה מאגרי מידע נגישים, המכילים בסך הכל יותר מ-1.5 מיליון רשומות:
- מאגר הזמנות – מכיל מוצרים וכתובות המשלוח שלהם, כתובות הדוא"ל של הקונים, שמותיהם ו... כתובות IP.
- מאגר תשלומים – מורכב ממספרי הזמנות, סוגי תשלום, פרטי תשלום, שמות לקוחות וכתובות ה-IP שלהם.
- מאגר לקוחות - מכיל את שמות הלקוחות, תאריכי הלידה שלהם, כתובות, מספרי טלפון, מיילים, כתובות IP, דרכונים ואפילו סיסמאות לגישה להזמנות.
הדבר החשוב ביותר הוא שמסד הנתונים הזה מתעדכן, כלומר. שורות חדשות עם נתונים של הזמנות חדשות נכתבות לתוכו.
מקור: www.habr.com
