H Gearbest άφησε τις βάσεις δεδομένων της απροστάτευτες, με αποτέλεσμα να εκτεθούν τα δεδομένα πολλών χιλιάδων πελατών της

[voltmod]

Το γνωστό online store Gearbest, που ειδικεύεται στα Κινέζικα προϊόντα, και κυρίως στις φορητές συσκευές (smartphones, tablets, αξεσουάρ για φορητές συσκευές κ.ά) φαίνεται πως βρέθηκε αντιμέτωπη με ένα σοβαρό πρόβλημα στην ασφάλεια της, με αποτέλεσμα να εκτεθούν τα δεδομένα –συμπεριλαμβανομένων λογαριασμών email και κωδικών πρόσβασης, διευθύνσεων IP, στοιχείων πληρωμής, διευθύνσεων και ονομάτων- πολλών χιλιάδων χρηστών.

Η ομάδα ασφαλείας vpnMentor της οποίας επικεφαλής είναι ο Noam Rotem δημοσίευσε πρόσφατα μία έκθεση σχετικά με την ασφάλεια του online καταστήματος Gearbest και τα ευρήματα της ήταν ιδιαίτερα ανησυχητικά για τους πελάτες του.

Η ομάδα ανακάλυψε ότι η κεντρική βάση δεδομένων της ιστοσελίδας καθώς και οι βάσεις δεδομένων άλλων ιστοσελίδων της Gearbest, όπως των Zaful, Rosegal και DressLily ήταν εύκολα προσβάσιμες από τρίτους και περιέχουν περισσότερα από 1,5 εκατομμύρια αρχεία. Σύμφωνα με την vpnMentor, στις προσβάσιμες πληροφορίες συμπεριλαμβάνονταν όπως αναφέραμε μηνύματα ηλεκτρονικού ταχυδρομείου, κωδικοί πρόσβασης, διευθύνσεις IP, ημερομηνίες γενεθλίων, διευθύνσεις, πληροφορίες πληρωμής και τα πλήρη ονόματα των χρηστών. Η ομάδα μάλιστα κατάφερε να συνδεθεί σε δύο λογαριασμούς χωρίς ιδιαίτερη προσπάθεια. Το ακριβές περιεχόμενο των παραγγελιών κάθε πελάτη βρισκόταν επίσης σε «κοινή θέα». Η κονσόλα διαχείρισης δεδομένων της εταιρείας Gearbest ήταν επίσης προσβάσιμη, πράγμα που σημαίνει ότι οι χάκερ θα μπορούσαν να διαχειριστούν εύκολα δεδομένα στην ιστοσελίδα, να απενεργοποιήσουν τμήματα των διακομιστών της εταιρείας ή ακόμη και να διαταράξουν τις λειτουργίες στις αποθήκες της Gearbest.

H Gearbest, σε ερώτηση του Android Police σχετικά με τους ισχυρισμούς της vpnMentor απάντησε:

«Αμέσως μόλις συνειδητοποιήσαμε το συμβάν, οι ειδικοί ασφαλείας μας ξεκίνησαν έρευνα για να επαληθεύσουν τους ισχυρισμούς του κ. Noam Rotem. Ενώ διαπιστώσαμε ότι όλες οι εγκατεστημένες βάσεις δεδομένων ή οι διακομιστές που χρησιμοποιούνται για την αποθήκευση ή την επεξεργασία των δεδομένων προστατεύονται με όλα τα απαραίτητα μέτρα κρυπτογράφησης και είναι απολύτως ασφαλείς, τρίτοι ενδέχεται να απέκτησαν πρόσβαση σε ορισμένα από τα εξωτερικά εργαλεία που χρησιμοποιούμε για την προσωρινή αποθήκευση δεδομένων και επομένως, υπάρχει το ενδεχόμενο να παραβιάστηκαν.

Η χρήση των εξωτερικών εργαλείων προορίζεται για τη βελτίωση της αποτελεσματικότητας καθώς και για την αποτροπή της υπερφόρτωσης δεδομένων, και τα δεδομένα αποθηκεύονται στα εξωτερικά εργαλεία για λιγότερο από 3 ημερολογιακές ημέρες πριν αυτομάτως καταστραφούν. Λαμβάνοντας υπόψη το ενδεχόμενο παραβίασης, προστατεύσαμε τα εργαλεία αυτά με ισχυρά τείχη προστασίας για να αποφύγουμε την πρόσβαση σε αυτά από τρίτους. Ωστόσο, η έρευνά μας αποκάλυψε ότι την 1η Μαρτίου 2019, τα τείχη προστασίας απενεργοποιήθηκαν από λάθος ενός μέλους της ομάδας ασφαλείας μας για λόγους που βρίσκονται υπό διερεύνηση. Η μη προστατευμένη κατάσταση εξέθεσε άμεσα τα εργαλεία μας στην σάρωση και στην πρόσβαση από τρίτους χωρίς περαιτέρω επαλήθευση της ταυτότητας.

Προς το παρόν, πιστεύουμε ότι έχουν επηρεαστεί μόνο οι πρόσφατα εγγεγραμμένοι πελάτες μας καθώς και οι παλαιότεροι πελάτες μας που προχώρησαν σε παραγγελίες στην Gearbest κατά την περίοδο μεταξύ της 1ης Μαρτίου 2019 μέχρι τη 15η Μαρτίου 2019, με τον συνολικό αριθμό τους να είναι περίπου 280.000. Ευτυχώς, διορθώσαμε το πρόβλημα εντός δύο ωρών μετά την ανίχνευσή του και θα ενισχύσουμε περαιτέρω τη διαχείριση της εσωτερικής μας ασφάλειας για να αποφύγουμε να επαναληφθεί κάτι παρόμοιο στο μέλλον.

Σας ζητούμε ειλικρινά συγνώμη για το συμβάν. Εκτός από αυτά που αναφέραμε παραπάνω, θα λάβουμε επειγόντως μέτρα για την απενεργοποίηση των κωδικών πρόσβασης των νέων πελατών μας για να αποφευχθεί η μη εγκεκριμένη σύνδεση στους λογαριασμούς τους από τρίτους και θα αποστείλουμε επίσης μηνύματα ηλεκτρονικού ταχυδρομείου σε όλους τους ενδιαφερόμενους πελάτες για να τους ενημερώσουμε για την κατάσταση».

Android Police

Διαβάστε ολόκληρο το άρθρο

[jerry banana]

Ευτυχώς είχα πεί σε ένα θείο να μου παραγγείλει με τη κάρτα του κάτι motospeed περιφερειακά.Ουφ έχω το κεφάλι μου ήσυχο.Τώρα ο θείος εαν ζεί δεν ξέρω  .

[music_lover]

πω, κοντά στις 600.000 παραγγελίες τον μήνα καθαρίζει το gearbest 🙄

[ougxar]

Δε πειραζει θα δωσει ενα μισοευρω κουπονι για αποζημιωση

[aris1986]

Συμβαίνουν και στις καλύτερες οικογένειες ... Δώσε τώρα ένα κινέζικο power bank των 120 εκατομμυρίων mAh για κάθε πελάτη και είμαστε νταξει..!

[tsofras]

Και αγόρασα προχθές μια xiaomi λάμπα 🤐 ας αλλάξω κωδικό για καλό και για κακό

[mants118]

θα πρότεινα σε κόσμο που κάνει παραγγελίες μέσω ίντερνετ μια προπληρωμένη πιστωτική, ότι και να γίνει το πολύ να σου πάρουν τίποτα ψιλά.

[Mhlogiatros]

34 λεπτά πριν, jerry banana είπε

Ευτυχώς είχα πεί σε ένα θείο να μου παραγγείλει με τη κάρτα του κάτι motospeed περιφερειακά.Ουφ έχω το κεφάλι μου ήσυχο.Τώρα ο θείος εαν ζεί δεν ξέρω  .

Τον γ@μησες  Πιστωτική στους Κινέζους ;

[ChrisN.S.]

δεν θυμάμαι έχει επιλογή για paypal το gearbest;

[helicoid]

5 λεπτά πριν, ChrisN.S. είπε

δεν θυμάμαι έχει επιλογή για paypal το gearbest;

Ναι. Μόνο έτσι σε κινέζικα/ebays/κτλ. Αν βάζεις πιστωτικές κάρτες κτλ τα θέλει λίγο ο κώλος σου. Η χρυσή συνταγή είναι η εξής. E-banking>έμβασμα revolut>προεπιλογή revolut κάρτας σε paypal (με δικά της πάντα currency conversions)>πληρωμή μέσω paypal. Έτσι μπορείς να freezάρεις/ξεfreezάρεις την revolut κάρτα on demand και ουσιαστικά οτι και να γίνει να μην μπορεί κανείς να σου φάει ούτε μισό ευρώ.

[Cell_7]

12 λεπτά πριν, helicoid είπε

Ναι. Μόνο έτσι σε κινέζικα/ebays/κτλ. Αν βάζεις πιστωτικές κάρτες κτλ τα θέλει λίγο ο κώλος σου. Η χρυσή συνταγή είναι η εξής. E-banking>έμβασμα revolut>προεπιλογή revolut κάρτας σε paypal (με δικά της πάντα currency conversions)>πληρωμή μέσω paypal. Έτσι μπορείς να freezάρεις/ξεfreezάρεις την revolut κάρτα on demand και ουσιαστικά οτι και να γίνει να μην μπορεί κανείς να σου φάει ούτε μισό ευρώ.

Και την ελληνική κάρτα πια μπορείς να την παγώσεις και να την ξεπαγώσεις εύκολα μέσω e-banking με ένα κλικ, Πειραιώς τουλάχιστον που ξέρω.

Επεξ/σία 15 Μαρτίου 2019 από Cell_7

[bill987]

Paypal μόνο, όπου δεν δέχονται προπληρωμενη και έχεις το κεφαλάκι σου ήσυχο.

[Stoliver]

1 ώρα πριν, ChrisN.S. είπε

δεν θυμάμαι έχει επιλογή για paypal το gearbest;

Έχει. 

1 ώρα πριν, helicoid είπε

Ναι. Μόνο έτσι σε κινέζικα/ebays/κτλ. Αν βάζεις πιστωτικές κάρτες κτλ τα θέλει λίγο ο κώλος σου. Η χρυσή συνταγή είναι η εξής. E-banking>έμβασμα revolut>προεπιλογή revolut κάρτας σε paypal (με δικά της πάντα currency conversions)>πληρωμή μέσω paypal. Έτσι μπορείς να freezάρεις/ξεfreezάρεις την revolut κάρτα on demand και ουσιαστικά οτι και να γίνει να μην μπορεί κανείς να σου φάει ούτε μισό ευρώ.

Εγώ είχα πληρώσει μέσω της χρεωστικής μου κάρτας... (δεν ήξερα ότι το paypal σε καλύπτει αν δεν παραλάβεις το δέμα και δεν ήξερα ότι μπορεί να χαθεί "registered" δέμα... και ευτυχώς δε χάθηκε)
Καλύτερα με paypal, έχεις το κεφάλι σου ήσυχο.... ξέρεις ότι οι αριθμοί τις κάρτας σου είναι ασφαλείς...

Όσο για τη χρυσή συνταγή με τη Revolut, είναι λίγο υπερβολικό και λίγοι θα το ακολουθήσουν. 😜

1 ώρα πριν, mants118 είπε

θα πρότεινα σε κόσμο που κάνει παραγγελίες μέσω ίντερνετ μια προπληρωμένη πιστωτική, ότι και να γίνει το πολύ να σου πάρουν τίποτα ψιλά.

Με Paypal είσαι μια χαρά... 

1 ώρα πριν, Cell_7 είπε

Και την ελληνική κάρτα πια μπορείς να την παγώσεις και να την ξεπαγώσεις εύκολα μέσω e-banking με ένα κλικ, Πειραιώς τουλάχιστον που ξέρω.

Στη Revolut, N26 και σε άλλες του εξωτερικού, μπορείς να παγώσεις πχ. μόνο τα Online Transactions, ενώ οι αναλήψεις κτλ δουλεύουν κανονικά. Επιπλέον, σε αυτή τη περίπτωση, αν κάποιος προσπαθήσει να τη χρησιμοποιήσει, σε πραγματικό χρόνο σου έρχεται ειδοποίηση. Επιπλέον ασφάλεια. 👍
Τουλάχιστον η Πειραιώς έχει το απλό πάγωμα της κάρτας. Από το τίποτα... 😜

Επεξ/σία 15 Μαρτίου 2019 από Stoliver

[madtheo]

Πέσατε όλοι να φάτε το gearbest...το Ebay το ξεχάσατε....τα leaks του psn επίσης! Όπως αναφέρθηκε, συμβαίνει και στις καλύτερες οικογένειες. 

[cambo99]

Με το leak αυτό όσοι χρησιμοποιείτε gearbest και έχετε το ίδιο password παντού , θα έπρεπε να το είχατε αλλάξει από ... χθες!