E-shop Gearbest nechal data zákazníků bez ochrany

Gearbest patří k nejznámějším čínským obchodům, které své zboží doručují po celém světě. V nabídce nalezneme gadgety za pár dolarů (s dopravou zdarma) i levné smartphony, které mnohdy ani na tuzemském trhu neseženete. Část zboží navíc začala společnost posílat z českého skladu, takže odpadají problémy s proclením a nekonečně dlouhé čekání na doručení balíčku. Tentokrát se ovšem na Gearbest podíváme z hlediska zabezpečení. První problémy měl e-shop koncem roku 2017, ale nejspíš se z kauzy uniklých přihlašovacích údajů nepoučil. Tedy určitě ne dostatečně.

 

 

Tento měsíc totiž bylo objeveno, že databáze společnosti zůstala takřka bez jakéhokoliv zabezpečení, takže hackeři měli otevřené dveře k datům o zákaznících. Naštěstí na problém nejprve upozornila skupina tzv. etických hackerů, kterou vede Noam Rotem. Jeho cílem není nabourávat servery za účelem vlastního obohacení, ale proto, aby upozornil na případné chyby v zabezpečení a ochránil tak data ostatních návštěvníků webu. Proto tým nejprve kontaktoval Gearbest a společnost Globalegrow, která tento e-shop provozuje. Ani přes opakované urgence nedostali odpověď.

 

Jedná se přitom o závažný problém, který se týká až milionů zákazníků Gearbestu a dalších e-shopů stejného provozovatele (např. Zaful, Rosegal nebo DressLily). Případný „zlý“ hacker by mol získat nezašifrované e-mailové adresy a hesla k uživatelským účtům. A jelikož řada uživatelů stále používá stejné přihlašovací údaje k více službám, jedná se o poměrně cenná data, která by útočník mohl zpeněžit na černém trhu. Kromě toho databáze odkryla celé jméno zákazníků, jejich poštovní adresu, telefonní číslo, datum narození nebo IP adresu, v některých případech také informace o dokladech totožnosti. To už je dost údajů k ukradení identity.

 

 

Ačkoliv neunikla čísla platebních karet, u některých platebních metod (např. brazilské banky Boleto) nebyl větší problém se dostat až citlivým informacím o platbě včetně čísla účtu nebo seznamu účtenek. Dalšími problematickými údaji, která byla vystavena případným útočníkům, je historie objednávek. To může být zvlášť nepříjemné v situacích, kdy si zákazník objednával např. sexuální pomůcky. V některých zemích je přitom pohled na sexualitu výrazně odlišný od toho, jaký známe ze západního světa, homosexualita je v některých režimech dokonce trestná. Pro skupinu etických hackerů přitom nebyl problém dohledat takové objednávky z Pákistánu spolu s kompletními údaji o zákazníkovi. Tím Gearbest ohrožuje nejen soukromí, ale dokonce i bezpečnost.

 

Kauza přitom ukázala i problém s tím, jaká uživatelská data Gearbest shromažďuje o svých zákaznících. Patří mezi ně IP adresa, která přitom není důležitá pro vyřízení objednávky. E-shop dokonce ohrozil i svůj vlastní provoz, neboť hackeři se dostali i do interního systému, mohli tak snadno vyřadit z provozu jednotlivé části serverů a vyřadit tak systém objednávek nebo systém pro správu skladů. Gearbest poslal webu Androidpolice.com, který o problému informoval později, vyjádření. V něm uvádí, že základní databáze a data jsou chráněna šifrováním, ale problém se objevil u některého z externích nástrojů, který společnost využívá, aby nedošlo k přetížení systému.

 

Interní vyšetřování mělo odhalit, že jeden z pracovníků vypnul firewall chránící externí nástroj, proto mohlo dojít k odhalení dat u objednávek provedených od 1. do 15. března 2019. Celkem se mělo jednat o 280 tisíc zákazníků. Gearbest tvrdí, že chybu opravil do dvou hodin od jejího detekování a chystá provést opatření, aby se už v budoucnu neopakovala.

 

Zdroj: Vpnmentor.com, Androidpolice.com