Laporan – Gearbest Hack: Beratus-ratus Ribuan Harian Terkena oleh Pelanggaran Data yang Besar


Dipimpin oleh Noam Rotem, seorang penggodam dan aktivis topi putih yang terkenal, Pasukan penyelidikan VPNMentor menemui pelanggaran keselamatan utama di Gearbest. 

Dengan beratus-ratus ribu jualan setiap hari, Gearbest adalah syarikat e-dagang Cina yang sangat berjaya.

Laman ini menjual pelbagai peralatan dan elektronik, serta pakaian, aksesori, dan peralatan rumah. Walaupun ia menjual beberapa jenama terkenal di peringkat antarabangsa seperti OnePlus, kebanyakan jenama Cina yang lebih kecil.

Ia dihantar ke lebih daripada 250 buah negara dan wilayah di seluruh dunia, dan berpangkalan di 100 laman web teratas di hampir 30% kawasan ini. Gearbest mempunyai subdomain dalam 18 bahasa, menjana rayuan global.

Gearbest dimiliki oleh konglomerat Cina, Globalegrow. Ibu bapa syarikat beroperasi beberapa tapak yang berjaya di peringkat antarabangsa, termasuk Zaful, Rosegal, dan DressLily. Pada tahun 2015, jualan mereka mencapai $ 550 juta; 2017 menyaksikan syarikat itu meraikan perolehan $ 1.48 bilion.

Kejayaan melarikan diri syarikat adalah kejayaan untuk Gearbest dan syarikat-syarikat kakaknya. Walau bagaimanapun, ia bukan berita hebat untuk pelanggan laman web itu.

vpnMentor secara eksklusif boleh mendedahkannya Pangkalan data Gearbest sepenuhnya tidak bercagar - seperti yang dimiliki oleh syarikat kakaknya.

Pelanggaran Data Gearbest

Penggodam kami boleh mengakses bahagian-bahagian yang berlainan dalam pangkalan data Gearbest, termasuk:

  • Pangkalan data tempahan
    Data termasuk produk yang dibeli; alamat perkapalan dan kod pos; Nama Pelanggan; alamat emel; nombor telefon
  • Pangkalan data pembayaran dan invois
    Data termasuk nombor pesanan; jenis pembayaran; Maklumat Pembayaran; alamat emel; nama; alamat IP
  • Pangkalan data ahli
    Data termasuk nama; alamat; tarikh lahir; nombor telefon; alamat emel; Alamat IP; maklumat ID dan pasport kebangsaan; kata laluan akaun

Kami mengakses pangkalan data ini pada bulan Mac 2019, dan menemui 1.5+ juta rekod.

Pangkalan data Gearbest bukan sekadar tidak terjamin. Ia juga menyediakan ejen yang berniat jahat dengan pembekalan data segar yang sentiasa dikemas kini.

Isu keselamatan

Selain daripada keupayaan kami untuk mengakses set lengkap maklumat yang boleh dikenal pasti bagi jutaan pengguna, pelanggaran data Gearbest menimbulkan beberapa isu yang sangat serius.

Privasi Pengguna

Dasar Privasi Gearbest menyatakan bahawa semasa mereka melakukannya mengumpul maklumat pengguna, ia adalah dengan tujuan memberi tumpuan kepada pelanggan mereka.

Laporan - Gearbest Hack: Beratus-ratus Ribuan Harian Terkena oleh Pelanggaran Data yang Besar

Dasar privasi juga menentukan bahawa sementara pengguna bertanggungjawab atas kata laluan mereka sendiri, mereka menyulitkan maklumat sensitif dan menggunakan perisian pengesahan luaran untuk melindungi pelanggan.

Laporan - Gearbest Hack: Beratus-ratus Ribuan Harian Terkena oleh Pelanggaran Data yang Besar

Data yang dilihat sebagai hasil daripada hack ini mendedahkan ini tidak benar. Kami melihat banyak maklumat sensitif - termasuk alamat e-mel dan kata laluan - yang tidak dienkripsi sepenuhnya.

Di samping itu, pangkalan data mengandungi sejumlah maklumat peribadi yang boleh dikenalpasti yang tidak diperlukan apabila melengkapkan tugas e-dagang kedai. Sebagai contoh, alamat penghantaran adalah penting untuk memenuhi pesanan. Alamat IP tidak.

Ini amat membimbangkan memandangkan trend semasa ke arah internet yang lebih terbuka dan jujur. Penyedia perkhidmatan merentas pelbagai industri, mulai dari CyberGhost VPN ke Walmart (kedua-duanya baru-baru ini menerbitkan laporan ketelusan), berusaha meningkatkan ketelusan untuk pelanggan mereka. Amalan teduh Gearbest memang bertentangan.

Gearbest seolah-olah melanggar dasar privasi mereka sendiri. Walau bagaimanapun, ini bukanlah risiko yang paling penting untuk privasi pengguna di sini.

Keselamatan Pengguna

Pangkalan data terbuka yang dipenuhi dengan maklumat peribadi boleh menjejaskan keselamatan pengguna dalam talian. Rekod yang kami lihat menunjukkan set lengkap data yang tidak disenkripsikan, termasuk alamat e-mel dan kata laluan.

(Perlu diingat bahawa beberapa alamat e-mel mengandungi beberapa hashing.Kami tidak tahu sama ada ini disengajakan dan sepatutnya muncul di mana-mana, atau jika beberapa data mereka rosak.Probot kami percaya bahawa ia adalah langkah keselamatan yang sebahagiannya dilaksanakan yang semata-mata tidak melakukan tugasnya.)

Screenshot di bawah menunjukkan coretan dari dua set data pengguna yang kami tangkap dari pangkalan data.

Laporan - Gearbest Hack: Beratus-ratus Ribuan Harian Terkena oleh Pelanggaran Data yang BesarKami dapat log masuk ke dua akaun Gearbest ini dan mengendalikan mereka seolah-olah kami pengguna. Kita boleh melihat pesanan semasa dan lalu, mengumpulkan mata Gearbest, dan menukar kata laluan dan butiran akaun.

Hacker boleh menggunakan maklumat ini untuk mencipta kerosakan "tempatan": dengan mengakses akaun pengguna menggunakan e-mel dan kata laluan mereka, mereka boleh menukar pesanan pengguna, memanipulasi butiran akaun, dan menghabiskan wang dari kaedah pembayaran yang disimpan.

Walau bagaimanapun, maklumat ini juga boleh digunakan dalam cara yang jauh lebih jahat. Dengan merujuk silang pelbagai pangkalan data, penggodam dengan mudah boleh mencuri identiti pelanggan Gearbest.

Seperti yang dilihat di bawah, pangkalan data Ahli termasuk alamat IP pengguna, alamat pos penuh, alamat e-mel, tarikh lahir, dan paling bimbang, nombor identiti kebangsaan mereka.

Laporan - Gearbest Hack: Beratus-ratus Ribuan Harian Terkena oleh Pelanggaran Data yang Besar

Bergantung kepada negara dan keperluan, ini boleh menjadi maklumat yang cukup untuk memberikan penggodam akses kepada portal kerajaan dalam talian, aplikasi perbankan, rekod insurans kesihatan, dan banyak lagi.

Butiran pembayaran

Ketika memeriksa pangkalan data Pembayaran dan Invois, kami melihat istilah "Boleto" muncul beberapa kali, secara eksklusif merujuk kepada perintah Brazil (Brazil menyumbang 9.2% dari lalu lintas global Gearbest).

Ia merujuk kepada Boleto Bancario (secara harfiah, "Tiket Bank"), a kaedah pembayaran yang dikawal oleh Persekutuan Bank Brazil.

Ia serupa dengan sistem pembayaran Oxxo yang digunakan di Mexico. Oxxo membolehkan pengguna membuat baucar yang berfungsi seperti kad debit: pengguna memuatkan jumlah pilihan mereka, dan boleh membelanjakan apa yang tersedia. Setiap baucar mempunyai kod bar unik; ini memberikan pengguna akses kepada wang mereka.

Laporan - Gearbest Hack: Beratus-ratus Ribuan Harian Terkena oleh Pelanggaran Data yang Besar

Dalam pangkalan data yang kita dapat, pembayaran yang dibuat menggunakan salah satu daripada kaedah ini termasuk URL untuk "ebanx." Pautan ini menunjukkan baucar aktif yang digunakan, lengkap dengan jumlah tunai mereka. Data juga termasuk kod bar unik baucar Oxxo dan Boleto; maklumat ini membolehkan penggodam bertindak sebagai pengguna. Kami juga boleh mengakses resit pelanggan, lengkap dengan maklumat perbankan mereka.

Laporan - Gearbest Hack: Beratus-ratus Ribuan Harian Terkena oleh Pelanggaran Data yang Besar

Butiran Pesanan: Skandal Toy Seks

The kandungan sebenar pesanan orang boleh dilihat pada pangkalan Pesanan. Cara membuat, warna, saiz dan kos yang tepat setiap item boleh dilihat, bersama-sama dengan nama pengguna dan alamat penghantaran.

Berbanding dengan maklumat lain yang terdapat di dalam pangkalan data yang tidak dilindungi ini, ini tidak begitu mengejutkan. Walau bagaimanapun kandungan pesanan sesetengah orang telah terbukti sangat mendedahkan - dan dalam beberapa keadaan, walaupun mengancam nyawa.

Tersembunyi di bahagian "Jualan" kategori "Pakaian" Gearbest, pengguna boleh mencari pelbagai jenis mainan seks. Sifat pangkalan data terbuka kedai bermakna butiran pembelian peribadi anda dengan cepat dapat menjadi pengetahuan umum.

Bagi kebanyakan orang dewasa di seluruh dunia, membeli mainan seks tidak bermasalah. Sebagai contoh, pesanan yang ditunjukkan dalam imej di bawah adalah milik orang di Brazil dan Greece.

Laporan - Gearbest Hack: Beratus-ratus Ribuan Harian Terkena oleh Pelanggaran Data yang Besar

Negara-negara ini mempunyai undang-undang yang sangat berhati-hati mengenai seksualiti dan homoseksual. Untuk konteks, Brazil menjadi tuan rumah perbarisan Pride terbesar di dunia, dan hubungan seks yang sama telah sah di Greece sejak tahun 1951. Walaupun kandungan perintah itu dilepaskan boleh memalukan bagi pembeli, penerbitan maklumat sedemikian tidak boleh menyebabkan kesan undang-undang.

Walau bagaimanapun, ini tidak berlaku di mana-mana sahaja. Semasa menyemak pangkalan data, kami melihat maklumat pesanan untuk pengguna Pakistan lelaki.

Laporan - Gearbest Hack: Beratus-ratus Ribuan Harian Terkena oleh Pelanggaran Data yang Besar

Pelanggan ini membeli dildo silikon; sebenarnya, pemeriksaan lanjut mengenai pangkalan data menunjukkan bahawa dia sebenarnya membeli tiga. Setiap pembelian termasuk maklumat yang sedikit berbeza, itulah sebabnya alamat jalan tidak muncul dalam imej di atas.

Pakistan tidak menikmati sikap liberal yang sama terhadap seksualiti yang diterima oleh banyak negara Barat.

Negara ini Undang-undang yang ketat menetapkan bahawa seks perzinahan dan pra-perkahwinan adalah kesalahan jenayah boleh dihukum dengan penjara dan denda. Undang-undang agama negara juga membenarkan kematian dengan hukuman batu atau hukuman mati.

Hak LGBT adalah terhad, dan hukuman yang sama juga berlaku. Masyarakat LGBT juga mengalami stigma sosial, kekurangan perlindungan undang-undang, dan masyarakat Islam yang menghalangi penerimaan orang LGBT.

Ia juga perlu diperhatikan bahawa budaya, tidak mungkin pembeli membuat pembelian ini untuk isteri pembelinya.

Undang-undang ini menjadikan pembeli Pakistan kami sebagai contoh utama mengapa pangkalan data terbuka Gearbest begitu berbahaya. Carian ringkas memberi kami nama lengkapnya, alamat e-mel, alamat jalanan, dan alamat IP. Carian yang lebih terperinci mungkin menunjukkan kepada kita tarikh kelahiran dan kata laluan akaunnya, yang membolehkan kita melihat maklumat pesanan terdahulu.

Kami tidak berniat jahat dan berkongsi maklumat ini (sangat ditapis) nyatakan bahaya pangkalan data terbuka ini. Lain mungkin mempunyai niat yang sangat berbeza. Di tangan kerajaan Pakistan, maklumat ini boleh membawa hukuman mati secara harfiah untuk pengguna ini.

Bagaimana Gearbest Mempersendakan Sendiri

Gearbest mendedahkan berjuta-juta data pengguna. Walau bagaimanapun, syarikat itu juga menyakiti dirinya sendiri.

Indeks indeks penggodam kami tidak hanya untuk pangkalan data pengguna mereka. Mereka juga termasuk akses URL ke sistem Gearbest's - dan Globalegrow's - Kafka.

Kafka adalah program pengurusan data yang membantu syarikat besar mengawal jumlah data tapak yang dihantar melalui setiap pelayan mereka. Ini berfungsi dua tujuan: ia menghalang beban pelayan dan mengekalkan kecekapan, dan membolehkan syarikat mengumpul data besar.

Laporan - Gearbest Hack: Beratus-ratus Ribuan Harian Terkena oleh Pelanggaran Data yang Besar

Akses semacam ini membolehkan penggodam berniat jahat untuk memanipulasi maklumat, menugaskan semula sifat pangkalan data, dan juga melumpuhkan keseluruhan seksyen pelayan syarikat. Bergantung kepada fungsi setiap pelayan, ini boleh mengganggu pengumpulan data, penempatan pesanan, dan pengurusan stok dan gudang.

Laporan - Gearbest Hack: Beratus-ratus Ribuan Harian Terkena oleh Pelanggaran Data yang Besar

Hacking Etika

Kami mendapati pelanggaran ini sebagai sebahagian daripada projek peretasan etika. Noam Rotem, seorang aktivis topi putih dan penggodam yang terkenal, bersama dengan Ran L. dan pasukan mereka, menjalankan projek pengimbasan web yang meneliti blok IP dan lubang sistem untuk kebocoran data.

Mereka mengesahkan pemilik pangkalan data oleh mewujudkan, memasuki, dan mengenal pasti data.

Mereka mendapati bahawa Globalegrow's pangkalan data keseluruhan adalah tidak dilindungi dan kebanyakannya tidak dienkripsi. Syarikat menggunakan pangkalan data Elasticsearch, yang biasanya tidak direka untuk kegunaan URL. Walau bagaimanapun, kami dapat mengaksesnya menerusi penyemak imbas dan memanipulasi kriteria carian URL untuk mendedahkan sehingga 10,000 schemata dari indeks tunggal pada bila-bila masa.

Sebagai penggodam etika, kita wajib menjangkau laman web apabila kami menemui kekurangan keselamatan. Hal ini terutama berlaku apabila pelanggaran data syarikat mempengaruhi banyak orang - dan dalam kes Gearbest, isu ini berdampak ratusan ribu orang setiap hari.

Walau bagaimanapun, etika ini juga bermakna kita membawa a tanggungjawab kepada orang ramai. Pembeli Gearbest harus sedar akan risiko yang mereka ambil apabila menggunakan tapak yang tidak berusaha untuk melindungi penggunanya.

Kami berulang kali menghubungi kedua-dua Gearbest dan Globalegrow untuk memaklumkan mereka mengenai pelanggaran ini, dan membiarkan mereka apabila kami akan menerbitkan artikel ini. Mereka mempunyai notis beberapa hari. Malangnya, percubaan berulang kami untuk meminta syarikat-syarikat ini untuk meningkatkan dan melindungi pengguna mereka tidak berjaya. Pada masa penerbitan, kami masih belum menerima respons.

Laporan lepas

Kami baru-baru ini mendedahkannya Dalil mengalami pelanggaran data secara besar-besaran. Dalil adalah aplikasi direktori telefon terbesar di Arab Saudi, dan pelanggaran itu menjejaskan lebih daripada 5 juta pengguna. Anda juga mungkin mahu membaca laporan aplikasi palsu yang digunakan di Iran untuk memantau pengguna, Laporan Kebocoran VPN dan Statistik Statistik Data Data.

Sila kongsi laporan ini di Facebook atau tweet ia.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me