15.3.2019 04:30 | Bezpečnosť

Neprehliadnite Populárny e-shop GearBest nešifruje zákaznícke dáta, hrozí krádež identity

Ilustračná snímka

Známy internetový obchod s lacnou elektronikou má mať vážne problémy s bezpečnosťou.

Čínsky e-shop GearBest.com nechráni dáta nakupujúcich, ako by mal. Na webe vpnMentor na to upozornil etický hacker Noam Rotem, ktorý s jeho tímom získal prístup k nezabezpečenej databáze predajcu. Celkovo v nej našiel viac než 1,5 milióna zväčša nešifrovaných záznamov.

Obchod s lacnou elektronikou, príslušenstvom, gadgetmi a iným druhom tovaru je známy aj na Slovensku, najmä vďaka nižším cenám. Aktívne ho propaguje viacero menších slovenských webov, pričom e-shop má európske sklady aj v susednom Česku a Poľsku.

Zistili takmer všetko

Hackeri získali prístup k trom hlavným častiam databázy GearBestu – k objednávkam, informáciám o platbách a faktúrach, a o zákazníkoch samotných.

K dispozícii tak mali informácie, ako meno nakupujúceho, jeho kompletnú adresu, e-mailovú adresu, heslo k účtu, čísla objednávok, typ platby a informácie o nej, IP adresu, telefónne číslo a v niektorých prípadoch aj podrobnejšie informácie, ako dátum narodenia, číslo pasu alebo dokonca obdobu nášho rodného čísla.

ilustračná snímka
Čítajte aj Alza ľudí žiadala o vrátenie príliš lacného tovaru. Vraj omylom

Takmer všetky dáta vrátane hesiel a citlivých identifikátorov osôb neboli vôbec šifrované, ani inak zabezpečené. Etickí hackeri upozornili aj na fakt, že e-shop zbiera zbytočne veľa osobných údajov nad rámec toho, čo potrebuje pre doručenie objednávok. Až do rozsahu, že hrozí krádež identity niektorých zákazníkov.

Zbiera toho priveľa

Na základe získaných údajov sa bezpečnostní experti dokázali skúšobne prihlásiť do vybraných zákazníckych účtov. Umožnilo by im to napríklad nakúpiť tovar v mene zákazníka cez „zapamätanú“ platobnú kartu, prípadne ho úplne vymknúť z účtu zmenením hesla.

V správe nepadla zmienka o tom, či boli ohrozené aj informácie o platobných kartách. Hackeri však potvrdili, že niektoré platobné metódy dokážu zneužiť aj mimo GearBestu. Ide napríklad o špeciálne brazílske dobíjacie vouchery, ktoré fungujú ako debetná karta. Hackeri vďaka databáze vedeli získať všetky potrebné informácie, aby nimi mohli nakupovať.

Nakoľko databáza obsahovala aj informácie o zakúpenom tovare, v spojení s presnými osobnými údajmi môže byť podľa hackerov ohrozená aj fyzická bezpečnosť niektorých nakupujúcich. Ako príklad uviedli Pakistanca, ktorý si na GearBeste kúpil niekoľko erotických hračiek. Tamojšie striktné zákony ohľadne cudzoložstva či predmanželského sexu pritom môžu viesť až k rozsudku smrti – aj ukameňovaním.

Nová služba je dostupná už aj pre obyvateľov Košíc a okolia.
Čítajte aj IKEA v Košiciach otvorila výdajňu webových nákupov. Zaujme cenou doručenia

Gearbest patrí pod čínsky konglomerát Globalegrow, ktorému patria aj stránky Zaful, Rosegal či DressLily. Tie majú trpieť podobnými bezpečnostnými neduhmi.

Hackerom sa navyše podarilo získať prístup aj do systému Kafka, programu určenému na správu dát. Záškodníci by tak potenciálne dokázali s databázou aktívne manipulovať. „V závislosti od funkcie konkrétneho servera by to mohlo narušiť zber dát, prijímanie objednávok a správu skladových zásob,“ priblížili experti.

Klame zákazníkov?

Etickí hackeri pripomenuli, že GearBest vo svojich podmienkach uvádza, že citlivé informácie šifruje. Prezentované zistenia však dokazujú opak. Malá časť e-mailových adries mala byť hashovaná, väčšina z nich, ako aj zvyšné citlivé informácie, však chránené neboli.

„Zákazníci GearBestu by si mali byť vedomí rizika, aké podstupujú používaním stránky, ktorá sa nijak nesnaží ochrániť svojich používateľov,“ zdôraznili hackeri.

Tí predajcu opakovane kontaktovali v snahe o nápravu situácie, GrearBest im však v priebehu niekoľkých dní neodpovedal. Následne tak zverejnili svoje zistenia.

Ilustračná snímka
Čítajte aj Známy čínsky e-shop vyzýva na zmenu hesiel k účtom. Niektoré majú hackeri

Pripomeňme, že GearBest mal problémy aj v decembri 2017, kedy zákazníkov vyzval na zmenu hesla k účtom. Údajne však nedošlo k narušeniu jeho systémov. Záškodníci mali využívať prihlasovacie údaje získané z únikov z iných služieb, aby sa prihlásili do zákazníckych kont na čínskom e-shope.

Diskusia 10 Príspevkov