Отчет об уязвимости баз данных компании Gearbest: под ударом данные сотен тысяч пользователей
Мы несколько раз пытались связаться с представителями Gearbest и Globalegrow, чтобы сообщить им о выявленных нарушениях. Также они получили заблаговременное уведомление о публикации данной статьи и имели достаточное количество времени, чтобы исправить все. К сожалению, наши неоднократные попытки связаться с компанией и рекомендации усилить защиту данных своих пользователей, оказались безуспешными. На момент публикации мы так и не получили ответ.
Под руководством Ноама Ротема (Noam Rotem), известного этичного хакера и активиста,исследовательская группа VPNMentor обнаружила серьезную уязвимость баз данных компании Gearbest.
Gearbest — это успешная китайская компания, занимающаяся электронной торговлей. На сайте Gearbest ежедневно совершаются сотни тысяч покупок.
Там можно купить электронику, бытовую технику, одежду, аксессуары и товары для дома. В ассортименте есть некоторые всемирно известные бренды (например, OnePlus), однако большая часть товаров представлена относительно малоизвестными китайскими брендами.
Компания доставляет товары в более чем 250 стран и территорий по всему миру, а ее сайт входит в сотню лучших почти в 30% этих регионов. Gearbest переведен на 18 языков, что делает его по-настоящему глобальный сервисом.
Gearbest принадлежит китайскому конгломерату Globalegrow. Материнская компания управляет рядом всемирно успешных сайтов, в том числе Zaful, Rosegal и DressLily. В 2015 году их продажи составили 550 миллионов долларов США; в 2017 году оборот компании достиг 1,48 миллиарда долларов.
Такой успех, вне всякого сомнения, — это настоящий триумф Gearbest и других дочерних компаний. Впрочем, для клиентов их сайтов все не так уж и радостно.
vpnMentor предоставляет информацию о том, что базы данных Gearbest абсолютно незащищены. И такая же ситуация с другими сайтами дочерних компаний Globalegrow.
Утечка данных Gearbest
Наши хакеры смогли получить доступ к разным частям базы данных Gearbest, включая:
- Базу заказов
Здесь хранится информация о приобретенных товарах, адресах доставки, почтовых индексах, именах покупателей, адресах их электронной почты и номерах телефонов; - Базу платежей и счетов
Здесь хранится информация о номерах заказов, типах оплаты, платежных данных, адресах электронной почты, именах пользователей и их IP-адресах - Базу пользователей
Здесь хранится информация об имени, адресе, дате рождения, номере телефона, адресе электронной почты, IP-адресе, паспортных данных и пароле от учетной записи пользователя.
В марте 2019 года мы получили доступ к этим базам и нашли более 1,5+ миллионов записей.
База данных Gearbest не просто не защищена. Она еще и предоставляет потенциально опасным вредоносным программам и злоумышленникам постоянно обновляемые данные.
Проблемы безопасности
Помимо возможности получить доступ к полному набору личной информации миллионов пользователей, такая незащищенность баз данных Gearbest влечет за собой ряд других серьезных проблем.
Приватность пользователей
Компания Gearbest честно заявляет в своей политике конфиденциальности, что собирает пользовательские данные, чтобы предоставлять более качественные услуги.
В политике конфиденциальности также упоминается, что хотя пользователи сами несут отвественность за надежностью своих паролей, Gearbest шифрует важные данные, используя внешнее ПО для верификации в целях защиты клиентов.
Но данные, к которым мы получили доступ, говорят об обратном — мегабайты конфиденциальной информации, в том числе адреса электронной почты и пароли, не были зашифрованы вообще никак.
Кроме того, в базах данных содержится множество информации, позволяющей идентифицировать личность пользователей, но при этом не требующихся интернет-магазину (пусть даже и крупному) для работы. Конечно, сервису нужно знать адрес доставки, но зачем ему знать IP-адрес пользователя?
Этот факт особенно беспокоит, учитывая текущую тенденцию у более открытому и прозрачному интернету. Поставщики услуг в различным отраслях, от CyberGhost VPN до Walmart, стремятся повысить прозрачность для своих пользователей. Такая теневая игра Gearbest приводит к обратному результату.
Кажется, Gearbest нарушает собственную политику конфиденциальности. Но даже это нельзя назвать самой серьезной угрозой.
Безопасность пользователей
Открытая база данных с личной информацией — это колоссальная угроза для онлайн-безопасности пользователей. А тут речь и вовсе идет о полных наборах незашифрованных данных, в том числе адресах электронной почты и паролях.
Стоит отметить, что некоторые адреса электронной почты все же были частично зашифрованы. Мы не можем сказать, было ли это сделано специально и планировалось применить ко всей информации или же это результат поврежденния данных. В любом случае наши хакеры считают, что такая частичная защита ничем не лучше ее полного отсутствия.
На скриншоте ниже показаны сниппеты из двух наборов пользовательских данных, извлеченных из БД сервиса.
Мы смогли войти в эти две учетные записи Gearbest и работать в них так же, как если бы мы были их владельцами. Мы смогли получить доступ к истории заказов, к текущим заказам, накопленным бонусным баллам Gearbest, а также смогли сменить пароль и изменить личную информацию.
Менее этичные хакеры могут воспользоваться этим, чтобы устроить диверсию на «локальном» уровне: получив доступ к учетной записи, они смогут менять заказы, данные учетной записи и тратить деньги, если пользователь ранее добавил и сохранил тот или иной метод оплаты.
Однако всем этим можно воспользоваться и в куда более серьезных и разрушительных целях. Проведя перекрестный анализ баз данных сервиса, хакеры смогут без проблем украсть личные данные пользователей Gearbest.
Как вы можете увидеть ниже, база данных с информацией о пользователях, включает в себя такие поля, как IP-адрес, полный почтовый адрес, адрес электронной почты, дату рождения и, что страшнее всего, номер и серию паспорта.
Конечно, все зависит от страны и ситуации, однако в России такого набора данных хакерам хватит, чтобы получить доступ к сайтам типа Госуслуг, банковским приложениям, медицинской информации и не только.
Платежные данные
Изучая базу данных, хранящую данные о платежах и счетах, мы заметили термин “Boleto”. Он встречался, когда речь шла о заказах из Бразилии (порядка 9,2% общего трафика Gearbest приходится на пользователей из этой страны).
Этот термин значит Boleto Bancario («банковский билет», если переводить буквально) — метод оплаты, который регулируется Федерацией банков Бразилии.
Он схож с платежной системой Oxxo, которая применяется в Мексике и позволяет создать что-то вроде виртуальной дебетовой карты. Суть проста: пользователь заводит счет, пополняет его и тратит столько, сколько считает нужным… но не больше, чем есть на счете. У каждой карты есть свой уникальный защитный код.
Но вернемся к базе данных: записи о платежах, выполненных таким образом, содержат поле с URL, которое называется “ebanx”. Если перейти по соответствующим ссылкам, то можно получить доступ к этим картам! Да-да, в том числе к деньгам, хранящимся на них. Все верно, в этой базе данных есть уникальные защитные коды карт Oxxo и Boleto, зная которые, хакерам не составит труда по-своему распорядиться чужими деньгами. Также мы смогли получить доступ к выпискам по счетам пользователей, а эти документы, как вы понимаете, содержат все банковские данные пользователей.
Данные заказа: скандал с секс-игрушками
В базе данных заказов можно узнать точное содержание заказа. Там указано вообще все: бренд, цвет, размер, стоимость каждого отдельного товара, имя покупателя и даже адрес доставки.
С учетом того, какая информация хранится без какой-либо защиты в других базах данных сервиса, это все может показаться пустяком. Вот только далеко не все будут рады, если посторонние узнают о содержимом их посылок. В ряде случаев это даже может угрожать здоровью и жизни!
В разделе Sales категории Apparel на сайте Gearbest можно найти самый широкий ассортимент секс-игрушек. Что же это может значить для пользователей, если вспомнить про возможность получить доступ к базе данных магазина без особого труда? Информация о содержимом ваших личных посылок может очень быстро стать достоянием широкой общественности!
Конечно, взрослые люди из самых разных стран мира не видят ничего дурного в том, чтобы приобрести себе что-нибудь эдакое. Вот, например, заказы пользователей из Бразилии и Греции.
Но в этих странах с сексуальностью вообще и гомосексуальностью в частности юридических проблем нет. В Бразилии, к примеру, проводится крупнейший в мире прайд-парад, а однополые отношения в Греции были узаконены аж в 1951 году. Неприятно, конечно, что любой желающий сможет узнать, что именно было в посылке, но публикация этих данных не сулит покупателям из этих стран проблем с законом.
Вот только страны бывают разные. Так, мы нашли в этой базе данных заказ, сделанный проживающим в Пакистане мужчиной.
Он купил силиконовый дилдо — точнее сказать, целых три. Для каждой покупки он вводил разные данные, вот почему на скриншоте выше адрес показан лишь очень частично.
Пакистан с куда меньшим либерализмом относится к сексуальности. То, что для жителей западных стран считается чем-то естественным, в Пакистане вполне может быть под запретом.
Так, строгие законы этой страны приравнивают супружеские измены и секс до брака к уголовным преступлениям. За такое в Пакистане людям грозят штрафы и даже тюремное заключение. Еще в Пакистане уважают шариат, а в шариате за такое полагается смерть.
Про права ЛГБТ в этой стране и говорить не приходится — их ждут штрафы, тюрьмы и даже забрасывание камнями. ЛГБТ-сообщество в исламских странах зачастую страдает от социальной стигматизации и отсутствия юридической защиты. В исламских странах ЛГБТ-людей не считают за равных.
Опять же, уместно будет предположить, что тот мужчина из Пакистана явно покупал дилдо не своей жене — культурный, знаете ли, аспект.
В общем, становится понятно, почему этот покупатель явно не обрадуется тому, что базы данных Gearbest ничем не защищены. Простой поисковый запрос дал нам доступ к его полному имени, адресу электронной почты, адресу проживания и IP-адресу. Копни мы глубже, наверняка бы нашли его дату рождения и пароль от учетной записи, а тогда узнали бы, что он заказывал раньше.
Само собой, мы предоставили все эти скриншоты (с цензурой, как вы можете убедиться сами) лишь для того, чтобы подчеркнуть всю опасность отсутствия защиты у таких баз данных. Но хакеры, знаете ли, бывают разные. Если правительство Пакистана получит доступ к этой информации, то ничем хорошим это не кончится.
Почему компания Gearbest вредит сама себе
Сайт Gearbest открывает доступ к личной информации миллионов пользователей. Тем не менее, компания также наносит ущерб себе.
Наши хакеры добрались не только до пользовательских баз данных сервиса. Они получили доступ к внутренней системе управления данными Gearbest (и Globalegrow!), которая называется Kafka.
Kafka — это система управления данными, позволяющая управлять трафиком, проходящим через серверы конгломерата. По сути, у Kafka две цели: 1) избежать перегруженности серверов и обеспечить их эффективную работу; 2) дать компаниям возможность собирать большие данные.
Такой уровень доступа позволит хакерам манипулировать данными, менять свойства баз данных и даже отключать серверы компании целиком. В зависимости от того, за что отвечает тот или иной сервер, это может привести к нарушению сбора данных, невозможности обработать заказ или серьезным перебоям в работе складов.
Этичный хакинг
Мы обнаружили эту проблему, работая над проектом, посвященным этичному хакингу. Ноам Ротем, известный этичный хакер и активист, вместе с Рэном Л. (Ran L.) и его командой занимается веб-сканированием, которое проверяет IP-блоки и системные дыры на предмет утечек данных.
Они проверяют владельцев баз данных, создавая, вводя и идентифицируя данные.
Так они и обнаружили, что все базы данных Globalegrow ничем не защищены и практически не зашифрованы. Более того, этот конгломерат использует базы данных Elasticsearch, которые в принципе не были созданы для использования URL. Однако, что мы смогли получить доступ к ней прямо через браузер! Изменение поискового запроса в поле URL позволило нам извлекать до 10 000 схем из отдельного индекса за раз.
Придерживаясь этического подхода, мы считаем своей обязанностью сообщать владельцам сайтов о найденных проблемах. Это особенно актуально в случае компании масштаба Gearbest, чья безответственность может поставить под удар сотни тысяч пользователей каждый день по всему миру.
Впрочем, этический подход требует от нас рассказывать обо всем еще и широкой пользовательской аудитории. Клиенты Gearbest должны иметь представление о рисках, связанных с использованием этого сайта, который не прикладывает вообще никаких усилий, чтобы защитить своих пользователей.
Чем это может грозить Gearbest и Globalegrow
Интернет-магазин базируется в Китае, но представлен в Европе, имеет склады в Испании, Польше, Чехии и Великобритании, где действуют законы Евросоюза о защите персональных данных и конфиденциальности (GDPR). Любая компания, нарушившая GDPR, может быть оштрафована на сумму до 4% от её глобального дохода.
Это не первый взлом и слив личных данных с логинами и паролями с Gearbestа. Несмотря на уведомления об уязвимостях магазин Gearbest никак на них не реагирует.
К сожалению репутация магазина Gearbest в последнее время оставляет желать лучшего. К обычному обману покупателя с возвратом только 50% стоимости товара при утери посылки добавили еще ОТМЕНУ гарантии товара, а также нарушение собственных правил. За последние 6-9 месяцев в магазине произошли изменения, которые только ухудшили репутацию и желание покупать что-либо в этом магазине.
16/03/2019 UPDATE Gearbest — Официальный ответ:
Не прошло и нескольких дней, как Gearbest поспешил ответить на «слив» данных пользователей:
On March 15th, 2019, our data security team has discovered that a white hat hacker named Noam Rotem published a report on www.vpnmentor.com alleging that Gearbest’s databases for customer personal and transaction data (hereinafter, the“Data”) are unprotected and may be compromised. We have also seen that this information is being quickly circulated on the internet worldwide.
Immediately upon being aware of this incident, our security experts have initiated an investigation to verify the allegations made by Mr. Noam Rotem. While we found that all our own established databases or servers used for storing or processing Data are protected with all necessary encryption measures and are absolutely safe, some of the external tools we use to temporarily store Data may have been accessed by others and therefore Data security may have been compromised.
The external tools we use are intended to improve efficiency and prevent data overload and the Data will only be stored in such tools for less than 3 calendar days before it is automatically destroyed. Considering possible data security breaches, we protected those tools with powerful firewalls to avoid any such data being compromised by malicious scanning from others. However, our investigation reveals that on March 1st, 2019, such firewalls were mistakenly taken down by one of our security team members for reasons still being under investigation. Such unprotected status has directly exposed those tools for scanning and accessing without further authentication.
Currently, we believe this may have affected our newly registered customers as well as our old customers who placed orders with Gearbest during the time from March 1st 2019 to March 15th, 2019, in a total number of about 280,000. Fortunately, the irregularity has been fixed by us within two hours immediately after detecting it and we will further strengthen our internal security management to avoid such incident from happening again.
We truthfully apologize for what happened. In addition to what we have done mentioned above, we will be urgently carrying out measures to inactivate the passwords of those newly registered customers for avoidance any illegal login to their accounts and will also send email to all affected customers for updating the situation.
We take the security of our customers very seriously and will continue to do everything we can to create a safe and trusted shopping environment for our dear customers.
Магазин не признал ошибки, а лишь сослался на то, что 1 марта FireWall выключился по ошибке и именно в этот момент хакеры воспользовались уязвимостью...
Признавать свою ошибку не хотят, но это и понятно. Отзывы и комментарии на Facebook не очень радуют новых покупателей:
P.S. Согласно неофициальным ответам руководство нашло сотрудника, который получил уведомление об уязвимости системы, но ничего с этой информацией не сделал...
Источник: https://ru.vpnmentor.com, https://habr.com/, https://slickdeals.net/