Bericht – Gearbest Hack: Hunderttausende täglich von großem Datenverlust betroffen


Angeführt von Noam Rotem, einem bekannten White Hat Hacker und Aktivisten, Das Forschungsteam von VPNMentor entdeckte eine schwerwiegende Sicherheitslücke in Gearbest. 

Mit hunderttausenden Verkäufen pro Tag, Gearbest ist ein sehr erfolgreiches chinesisches E-Commerce-Unternehmen.

Die Website verkauft eine Reihe von Elektronik- und Haushaltsgeräten sowie Kleidung, Accessoires und Haushaltswaren. Während es verkauft einige international bekannte Marken Die meisten wie OnePlus sind kleinere chinesische Marken.

Es liefert in mehr als 250 Länder und Gebiete auf der ganzen Welt und rangiert in fast 30% dieser Regionen unter den Top-100-Websites. Gearbest hat Subdomains in 18 Sprachen, was weltweit Anklang findet.

Gearbest gehört dem chinesischen Konglomerat Globalegrow. Das Elternteil Das Unternehmen betreibt mehrere international erfolgreiche Standorte, einschließlich Zaful, Rosegal und DressLily. 2015 beliefen sich ihre Umsätze auf 550 Millionen US-Dollar. 2017 feierte das Unternehmen einen Umsatz von 1,48 Milliarden US-Dollar.

Der Erfolg des Unternehmens ist ein Triumph für Gearbest und seine Schwesterunternehmen. Es ist jedoch so für die Kunden der Websites keine so guten Nachrichten.

Das kann vpnMentor exklusiv verraten Die Datenbank von Gearbest ist völlig ungesichert - ebenso wie die seiner Schwesterfirmen.

Gearbest Data Breach

Unsere Hacker können auf verschiedene Teile der Gearbest-Datenbank zugreifen, darunter:

  • Bestelldatenbank
    Daten umfassen gekaufte Produkte; Lieferadresse und Postleitzahl; Kundenname; E-Mail-Addresse; Telefonnummer
  • Zahlungs- und Rechnungsdatenbank
    Daten beinhalten Bestellnummer; Zahlungsart; Zahlungsinformationen; E-Mail-Addresse; Name; IP Adresse
  • Mitgliedsdatenbank
    Daten beinhalten Namen; Adresse; Geburtsdatum; Telefonnummer; E-Mail-Addresse; IP Adresse; nationale ID- und Passinformationen; Kontokennwörter

Wir haben im März 2019 auf diese Datenbanken zugegriffen und mehr als 1,5 Millionen Datensätze gefunden.

Die Datenbank von Gearbest ist nicht nur ungesichert. Darüber hinaus werden potenziell böswillige Agenten ständig mit neuen Daten versorgt.

Sicherheitsprobleme

Abgesehen davon, dass wir Millionen von Benutzern Zugriff auf vollständige Datensätze mit personenbezogenen Daten gewähren können, wirft der Datenverstoß von Gearbest mehrere andere schwerwiegende Probleme auf.

Datenschutz

Die Datenschutzrichtlinie von Gearbest besagt, dass dies Benutzerinformationen sammeln, es ist mit dem fokussierten Zweck, ihren Kunden zu dienen.

Bericht - Gearbest Hack: Hunderttausende täglich von großem Datenverlust betroffen

Die Datenschutzrichtlinie legt außerdem fest, dass Benutzer zwar für ihre eigenen Passwörter verantwortlich sind, diese jedoch sensible Informationen verschlüsseln und setzen Sie externe Überprüfungssoftware ein, um Kunden zu schützen.

Bericht - Gearbest Hack: Hunderttausende täglich von großem Datenverlust betroffen

Die Daten, die als Ergebnis dieses Hacks angezeigt werden, zeigen, dass dies nicht der Fall ist. Wir haben viele vertrauliche Informationen gesehen - einschließlich E-Mail-Adressen und Passwörtern - die vollständig unverschlüsselt waren.

Zusätzlich ist die Die Datenbank enthält große Mengen an personenbezogenen Daten Dies ist nicht erforderlich, wenn Sie die Aufgaben eines E-Commerce-Geschäfts ausführen. Beispielsweise ist eine Lieferadresse für die Ausführung von Bestellungen von entscheidender Bedeutung. Eine IP-Adresse gibt es nicht.

Dies ist besonders besorgniserregend angesichts des derzeitigen Trends zu einem offeneren und ehrlicheren Internet. Dienstanbieter in verschiedenen Branchen, von CyberGhost VPN bis Walmart (beide haben kürzlich Transparenzberichte veröffentlicht), bemühen sich um mehr Transparenz für ihre Kunden. Die zwielichtigen Praktiken von Gearbest machen das Gegenteil.

Gearbest scheint gegen seine eigenen Datenschutzbestimmungen zu verstoßen. Dies ist jedoch nicht das größte Risiko für die Privatsphäre der Nutzer.

Anwendersicherheit

Eine offene Datenbank mit persönlichen Informationen kann die Sicherheit der Benutzer im Internet gefährden. Die Aufzeichnungen, die wir gesehen haben, zeigen vollständige Sätze unverschlüsselter Daten, einschließlich E-Mail-Adressen und Kennwörtern.

(Es ist erwähnenswert, dass einige E-Mail-Adressen Hashing enthielten. Wir wissen nicht, ob dies beabsichtigt war und überall hätte erscheinen sollen oder ob einige ihrer Daten beschädigt waren. Unsere Hacker glauben, dass es sich um eine teilweise implementierte Sicherheitsmaßnahme handelte, die einfach ist macht seinen Job nicht.)

Der Screenshot unten zeigt Ausschnitte aus zwei Benutzerdaten, die wir aus der Datenbank gesammelt haben.

Bericht - Gearbest Hack: Hunderttausende täglich von großem Datenverlust betroffenWir konnten uns bei diesen beiden Gearbest-Konten anmelden und betreiben sie, als ob wir die Benutzer wären. Wir können aktuelle und vergangene Bestellungen anzeigen, gesammelte Gearbest-Punkte sammeln und das Kennwort und die Details des Kontos ändern.

Hacker könnten diese Informationen verwenden, um „lokalen“ Schaden zu verursachen: Indem sie mit ihrer E-Mail-Adresse und ihrem Passwort auf Benutzerkonten zugreifen, können sie Benutzeraufträge ändern, Kontodetails manipulieren und Gelder aus gespeicherten Zahlungsmethoden ausgeben.

Diese Informationen könnten jedoch auch viel finsterer genutzt werden. Durch Querverweise auf verschiedene Datenbanken, Hacker könnten leicht die Identität der Gearbest-Kunden stehlen.

Wie unten zu sehen ist, enthält die Mitgliederdatenbank die IP-Adresse, die vollständige Postanschrift, die E-Mail-Adresse, das Geburtsdatum und, was am meisten beunruhigt, die nationale Identifikationsnummer dieses Benutzers.

Bericht - Gearbest Hack: Hunderttausende täglich von großem Datenverlust betroffen

Abhängig vom Land und den Anforderungen kann dies ausreichend sein, um Hackern Informationen zu geben Zugriff auf Online-Regierungsportale, Banking-Apps und Krankenversicherungsunterlagen, und mehr.

Zahlungsdetails

Bei der Überprüfung der Zahlungs- und Rechnungsdatenbank haben wir festgestellt, dass der Begriff „Boleto“ mehrfach verwendet wurde, ausschließlich in Bezug auf brasilianische Bestellungen (9,2% des weltweiten Verkehrs von Gearbest entfallen auf Brasilien)..

Es bezieht sich auf Boleto Bancario (wörtlich "Bank Ticket"), a Zahlungsmethode, die vom brasilianischen Bankenverband reguliert wird.

Es ähnelt dem in Mexiko verwendeten Oxxo-Zahlungssystem. Oxxo Benutzer können einen Gutschein erstellen, der wie eine Debitkarte funktioniert: Benutzer laden den Betrag ihrer Wahl und können das ausgeben, was verfügbar ist. Jeder Gutschein enthält einen eindeutigen Barcode. Dadurch erhalten Benutzer Zugriff auf ihr Geld.

Bericht - Gearbest Hack: Hunderttausende täglich von großem Datenverlust betroffen

In der Datenbank, auf die wir zugegriffen haben, enthalten Zahlungen, die mit einer dieser Methoden getätigt wurden, eine URL für "ebanx". Diese Links zeigen die verwendeten aktiven Gutscheine mit ihren Bargeldbeträgen an. Die Daten auch enthält die einzigartigen Barcodes der Oxxo- und Boleto-Gutscheine; Diese Informationen ermöglichen es Hackern, als Benutzer zu agieren. Wir könnten auch auf die Belege der Kunden mit ihren Bankdaten zugreifen.

Bericht - Gearbest Hack: Hunderttausende täglich von großem Datenverlust betroffen

Bestelldetails: Sexspielzeug-Skandal

Das Der genaue Inhalt der Personenbestellungen ist sichtbar in der Bestelldatenbank. Die genaue Marke, Farbe, Größe und Kosten jedes Artikels können zusammen mit dem Benutzernamen und der Lieferadresse angezeigt werden.

Im Vergleich zu anderen Informationen, die in diesen ungeschützten Datenbanken verfügbar sind, wirkt dies nicht besonders schockierend. Die Der Inhalt der Befehle einiger Leute hat sich als sehr aufschlussreich erwiesen - und in manchen Fällen sogar lebensbedrohlich.

Versteckt in der Rubrik "Verkauf" der Gearbest-Kategorie "Bekleidung", Benutzer finden eine Vielzahl von Sexspielzeugen. Aufgrund der Art der offenen Datenbank des Geschäfts können die Details Ihrer privaten Einkäufe schnell öffentlich bekannt werden.

Für viele Erwachsene auf der ganzen Welt ist der Kauf von Sexspielzeug kein Problem. Zum Beispiel gehören die im Bild unten gezeigten Bestellungen Personen in Brasilien und Griechenland.

Bericht - Gearbest Hack: Hunderttausende täglich von großem Datenverlust betroffen

Diese Länder haben sehr freizügige Gesetze in Bezug auf Sexualität und Homosexualität. Brasilien ist der Austragungsort der weltgrößten Pride-Parade. Gleichgeschlechtliche Beziehungen sind in Griechenland seit 1951 legal. Der Inhalt solcher Bestellungen könnte für den Käufer peinlich sein, Die Veröffentlichung solcher Informationen könnte keine rechtlichen Auswirkungen haben.

Dies ist jedoch nicht überall der Fall. Bei der Überprüfung der Datenbank stießen wir auf Bestellinformationen für einen männlichen pakistanischen Benutzer.

Bericht - Gearbest Hack: Hunderttausende täglich von großem Datenverlust betroffen

Dieser Kunde hat einen Silikondildo gekauft. Tatsächlich zeigt eine weitere Durchsicht der Datenbank, dass er tatsächlich drei gekauft hat. Jeder Kauf enthält leicht abweichende Informationen, weshalb im obigen Bild keine Adresse angegeben ist.

Pakistan genießt nicht die gleiche liberale Einstellung zur Sexualität, die viele westliche Länder für selbstverständlich halten.

Des Landes Nach strengen Gesetzen sind Ehebruch und vorehelicher Sex strafbar mit Freiheitsstrafe und Geldstrafe bestraft. Die religiösen Gesetze des Landes erlauben auch den Tod durch Steinigung oder körperliche Bestrafung.

LGBT-Rechte sind begrenzt und die gleichen Strafen gelten. Die LGBT-Gemeinschaft leidet auch unter sozialer Stigmatisierung, mangelndem Rechtsschutz und einer islamisierten Gesellschaft, die die Akzeptanz von LGBT-Personen ausschließt.

Es ist auch erwähnenswert, dass es kulturell unwahrscheinlich ist, dass der Käufer diesen Kauf für die Frau seines Käufers getätigt hat.

Diese Gesetze machen unseren pakistanischen Käufer zu einem hervorragenden Beispiel dafür, warum die offene Datenbank von Gearbest so gefährlich ist. Eine einfache Suche gab uns seinen vollständigen Namen, E-Mail-Adresse, Straße und IP-Adresse. Eine detailliertere Suche könnte uns wahrscheinlich sein Geburtsdatum und sein Kontopasswort anzeigen und uns seine vorherigen Bestellinformationen anzeigen lassen.

Wir sind nicht böswillig und geben diese (stark zensierten) Informationen an weiter Machen Sie auf die Gefahren dieser offenen Datenbank aufmerksam. Andere haben möglicherweise ganz andere Absichten. In den Händen der pakistanischen Regierung könnte diese Information ein Todesurteil für diesen Benutzer bedeuten.

Wie Gearbest sich selbst schadet

Gearbest legt Millionen von Benutzerdaten offen. jedoch, das unternehmen tut sich auch selbst weh.

Die von unseren Hackern entdeckten Indizes sind nicht nur für ihre Benutzerdatenbanken bestimmt. Dazu gehörte auch der URL-Zugriff auf das Kafka-System von Gearbest und Globalegrow.

Kafka ist ein Datenverwaltungsprogramm, mit dem große Unternehmen die Menge der Standortdaten steuern können, die über jeden ihrer Server gesendet werden. Dies dient zwei Zwecken: Es verhindert die Überlastung von Servern, sichert die Effizienz und ermöglicht es Unternehmen, große Datenmengen zu sammeln.

Bericht - Gearbest Hack: Hunderttausende täglich von großem Datenverlust betroffen

Diese Art von Zugang ermöglicht böswilligen Hackern, Informationen zu manipulieren, Weisen Sie die Datenbankeigenschaften neu zu, und deaktivieren Sie sogar ganze Bereiche des Unternehmensservers. Abhängig von der Funktion jedes Servers kann dies die Datenerfassung, die Auftragserteilung sowie die Lager- und Lagerverwaltung stören.

Bericht - Gearbest Hack: Hunderttausende täglich von großem Datenverlust betroffen

Ethisches Hacken

Wir haben diesen Verstoß im Rahmen eines. Entdeckt ethisches Hacking-Projekt. Noam Rotem, ein bekannter White-Hat-Aktivist und Hacker, führt zusammen mit Ran L. und seinem Team ein Web-Scan-Projekt durch, das IP-Blöcke und Systemlöcher auf Datenlecks untersucht.

Sie haben die Eigentümer der Datenbank überprüft Daten erstellen, eingeben und identifizieren.

Sie entdeckten, dass Globalegrow Die gesamte Datenbank ist ungeschützt und größtenteils unverschlüsselt. Das Unternehmen verwendet eine Elasticsearch-Datenbank, die normalerweise nicht für die Verwendung von URLs vorgesehen ist. Wir konnten jedoch über einen Browser darauf zugreifen und die URL-Suchkriterien so ändern, dass bis zu 10.000 Schemata aus einem einzelnen Index zu einem beliebigen Zeitpunkt verfügbar gemacht wurden.

Als ethische Hacker sind wir dazu verpflichtet Besuchen Sie Websites, wenn wir Sicherheitslücken entdecken. Dies gilt insbesondere dann, wenn der Datenverstoß eines Unternehmens so viele Menschen betrifft - und im Falle von Gearbest betrifft dieses Problem jeden Tag Hunderttausende von Menschen.

Diese Ethik bedeutet jedoch auch, dass wir eine Verantwortung gegenüber der Öffentlichkeit. Gearbest-Kunden sollten sich der Risiken bewusst sein, die sie bei der Nutzung einer Website eingehen, die keine Anstrengungen unternimmt, um die Benutzer zu schützen.

Wir haben wiederholt Kontakt mit Gearbest und Globalegrow aufgenommen um sie über diesen Verstoß zu informieren und sie zu informieren, wenn wir diesen Artikel veröffentlichen würden. Sie hatten eine Kündigungsfrist von mehreren Tagen. Leider waren unsere wiederholten Versuche, diese Unternehmen aufzufordern, ihre Benutzer zu verstärken und zu schützen, erfolglos. Zum Zeitpunkt der Veröffentlichung hatten wir noch keine Antwort erhalten.

Frühere Berichte

Wir haben das kürzlich enthüllt Dalil hatte einen massiven Datenverlust. Dalil ist die größte Telefonbuch-App in Saudi-Arabien. Die Sicherheitsverletzung betraf mehr als 5 Millionen Nutzer. Vielleicht möchten Sie auch unseren Bericht über gefälschte Apps lesen, die im Iran zur Überwachung von Benutzern verwendet werden.

Bitte teile diesen Bericht auf Facebook oder twittere ihn.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

7 + 2 =

map