Hesabat – Gearbest Hack: Hər gün yüz minlərlə məlumatın böyük pozulması ilə təsirləndi


Tanınmış ağ şapka haker və aktivist Noam Rotem rəhbərlik edir, VPNMentorun tədqiqat qrupu Gearbest-də böyük bir təhlükəsizlik pozuntusu aşkarladı. 

Hər gün yüz minlərlə satış ilə, Gearbest, yüksək müvəffəqiyyətli bir Çin e-ticarət şirkətidir.

Sayt bir sıra elektronika və texnikası, həmçinin geyim, aksesuar və ev əşyaları satır. Bu isə bəzi beynəlxalq səviyyədə tanınmış markalar satır OnePlus kimi əksəriyyəti daha kiçik Çin markalarıdır.

Dünyanın 250-dən çox ölkəsinə və ərazisinə çatdırılır və bu bölgələrin demək olar ki, 30% -də ilk 100 veb saytının sırasında yer alır. Gearbest qlobal cazibədarlıq yaradan 18 dildə alt alt adətlərə malikdir.

Gearbest Çin konqlomeratı Globalegrow-a məxsusdur. Valideyn şirkət bir neçə beynəlxalq səviyyədə uğurlu saytlar fəaliyyət göstərir, o cümlədən Zaful, Rosegal və DressLily. 2015-ci ildə satışları 550 milyon dollara çatdı; 2017 şirkəti 1.48 milyard dollarlıq bir dövriyyə qeyd etdi.

Şirkətin qaçış müvəffəqiyyəti Gearbest və bacı şirkətlər üçün qələbədir. Ancaq belədir saytların müştəriləri üçün o qədər də böyük xəbər deyil.

vpnMentor bunu yalnız aşkar edə bilər Gearbest’in məlumat bazası tamamilə təmin edilməmişdir – onun qardaş şirkətlərinə məxsus olanlar kimi.

Gearbest məlumatlarının pozulması

Hackerlərimiz Gearbest verilənlər bazasının müxtəlif hissələrinə daxil ola bilər, o cümlədən:

  • Sifarişlər bazası
    Məlumatlara satın alınan məhsullar daxildir; göndərmə ünvanı və poçt kodu; Müştəri adı; e-poçt ünvanı; telefon nömrəsi
  • Ödənişlər və hesab-fakturalar bazası
    Məlumat sifariş nömrəsini ehtiva edir; ödəniş növü; ödəniş məlumatları; e-poçt ünvanı; ad; IP ünvanı
  • Üzvlər bazası
    Məlumat adını ehtiva edir; ünvanı; Doğum tarixi; telefon nömrəsi; e-poçt ünvanı; IP ünvanı; şəxsiyyət vəsiqəsi və pasport məlumatları; hesab parolları

2019-cu ilin martında bu məlumat bazalarına daxil olduq və 1,5+ milyon qeydlər tapdıq.

Gearbest’in məlumat bazası yalnız təmin edilmir. Həm də potensial zərərli agentləri daim yenilənən təzə məlumatlarla təmin edir.

Təhlükəsizlik məsələləri

Milyonlarla istifadəçi üçün şəxsiyyətini müəyyənləşdirən məlumatların tam dəstini əldə edə bilməyimizdən başqa, Gearbest-in məlumat pozması bir sıra digər ciddi problemləri də gündəmə gətirir..

İstifadəçi Məxfiliyi

Gearbest-in Məxfilik Siyasəti bunları edərkən bildirir istifadəçi məlumatlarını toplamaq, müştərilərinə xidmət etmək məqsədi daşıyır.

Məxfilik siyasəti də istifadəçilərin öz şifrələrinə görə cavabdeh olduqlarını ifadə edir həssas məlumatları şifrələyin və müştəriləri qorumaq üçün xarici yoxlama proqramından istifadə edin.

Bu hack nəticəsində görünən məlumatlar bunun yalan olduğunu göstərir. Tamamca şifrələnməmiş çox sayda həssas məlumatlar – e-poçt ünvanları və şifrələri gördük.

Bundan əlavə, verilənlər bazasında çoxlu sayda şəxsiyyəti müəyyənləşdirən məlumatlar var bir elektron ticarət mağazasının vəzifələrini tamamlayarkən tələb olunmur. Məsələn, sifarişlərin yerinə yetirilməsi üçün bir göndərmə ünvanı vacibdir. Bir IP ünvanı deyil.

Bu, daha açıq və dürüst bir internetə istiqamətlənən tendensiyanı nəzərə alaraq xüsusilə narahatdır. CyberGhost VPN-dən Walmart-a qədər (hər ikisi də bu yaxınlarda şəffaflıq hesabatlarını yayımladı) qədər bir çox sahələrdə xidmət təminatçıları., müştəriləri üçün şəffaflığı artırmağa çalışın. Gearbest-in kölgəli təcrübələri bunun əksini edir.

Gearbest, öz məxfilik siyasətini pozduğu görünür. Ancaq burada istifadəçi məxfiliyi üçün ən əhəmiyyətli risk deyil.

İstifadəçi Təhlükəsizliyi

Şəxsi məlumatlarla doldurulmuş açıq verilənlər bazası istifadəçilərin təhlükəsizliyini onlayn şəkildə poza bilər. Gördüyümüz qeydlər e-poçt ünvanları və şifrələr daxil olmaqla şifrələnməmiş məlumatların tam dəstləri.

(Bəzi e-poçt ünvanlarında bəzi hash-lərin olduğunu qeyd etmək lazımdır. Bunun qəsdən olub olmadığını bilmirik və hər yerdə göründüyünü və ya bəzi məlumatların korlandığını bilmirik. Hakerlərimiz bunun qismən tətbiq olunan təhlükəsizlik tədbiri olduğunu düşünürlər. öz işini etmir.)

Aşağıdakı ekran görüntüsü, verilənlər bazasından yığdığımız iki istifadəçi məlumatının parçalarını göstərir.

Bu iki Gearbest hesabına daxil ola bildik və istifadəçilərimiz kimi işlət. Cari və keçmiş sifarişləri, toplanmış Gearbest ballarını nəzərdən keçirə və hesab şifrəsini və təfərrüatlarını dəyişə bilərik.

Hakerlər bu məlumatı “yerli” ziyan yaratmaq üçün istifadə edə bilər: elektron poçt və şifrələrini istifadə edərək istifadəçi hesablarına daxil olmaqla istifadəçi sifarişlərini dəyişdirə, hesab məlumatlarını manipulyasiya edə və qənaət edilmiş ödəniş metodlarından pul xərcləyə bilərlər..

Ancaq bu məlumatlardan daha pis bir şəkildə də istifadə edilə bilər. Müxtəlif verilənlər bazalarına çarpaz istinad etməklə, hakerlər Gearbest-in müştərilərinin şəxsiyyətlərini asanlıqla oğurlaya bildilər.

Aşağıda göründüyü kimi, İstifadəçilər bazasında bu istifadəçinin IP ünvanı, tam poçt ünvanı, e-poçt ünvanı, doğum tarixi və ən əsası, onların milli şəxsiyyət nömrəsi var.

Ölkədən və tələblərdən asılı olaraq bu, hakerlərə vermək üçün kifayət qədər məlumat ola bilər onlayn hökumət portallarına, bank tətbiqlərinə, tibbi sığorta qeydlərinə giriş, və daha çox.

Ödəniş təfərrüatları

Ödənişlər və Faturalar bazasını araşdırarkən “Boleto” ifadəsinin yalnız Braziliya sifarişlərinə (Braziliya Gearbest-in qlobal trafikinin 9,2% -ni təşkil edir) dəfələrlə rast gəldiyini gördük..

Boleto Bancario’ya aiddir (sözün həqiqi mənasında “Bank bileti”), a Braziliya Banklar Federasiyası tərəfindən tənzimlənən ödəniş metodu.

Meksikada istifadə olunan Oxxo ödəmə sisteminə bənzəyir. Oxxo istifadəçilərə debet kartı kimi işləyən bir çek yaratmağa imkan verir: istifadəçilər seçdikləri məbləği yükləyirlər və mövcud olanları xərcləyə bilərlər. Hər bir çekdə unikal bir ştrix kod var; bu istifadəçilərə pullarına çıxışı təmin edir.

Giriş etdiyimiz verilənlər bazasında, bu metodlardan hər hansı birini istifadə edərək edilən ödənişlərə “ebanx” üçün bir URL daxildir. Bu bağlantılar, istifadə etdikləri pul vəsaitləri ilə tamamlanmış aktiv çekləri göstərir. Məlumatlar da Oxxo və Boleto çeklərinin unikal barkodlarını ehtiva edir; bu məlumat hakerlərə istifadəçi kimi çıxış etməyə imkan verir. Müştərinin bank məlumatları ilə birlikdə daxilolmalarını da əldə edə bildik.

Sifariş təfərrüatları: Cinsi oyuncaq qalmaqalı

The insanların sifarişlərinin dəqiq məzmunu görünür Sifarişlər bazasında. Hər bir əşyanın dəqiq hazırlanması, rəngi, ölçüsü və dəyəri istifadəçi adı və göndərmə ünvanı ilə yanaşı, hamısına baxıla bilər.

Bu qorunmayan verilənlər bazalarında mövcud olan digər məlumatlarla müqayisədə bu xüsusilə şok görünmür. Lakin, bəzi insanların sifarişlərinin məzmunu çox açıq şəkildə sübut edildi – və bəzi hallarda, hətta həyat üçün təhlükəlidir.

Gearbest-in “Geyimi” kateqoriyasındakı “Satış” bölməsində gizlidir, istifadəçilər geniş seks oyuncaqları tapa bilərsiniz. Mağazanın açıq məlumat bazasının xüsusiyyəti şəxsi satınalmalarınızın detallarının tez bir zamanda ictimaiyyətin məlumatına çevrilə bilməsi deməkdir.

Dünyadakı bir çox yetkin üçün cinsi oyuncaqlar almaq problemli deyil. Məsələn, aşağıdakı şəkildəki göstərişlər Braziliya və Yunanıstandakı insanlara aiddir.

Bu ölkələrdə cinsiyyət və homoseksuallıqla bağlı çox icazəverici qanunlar var. Kontekst baxımından, Braziliya dünyanın ən böyük Pride paradına ev sahibliyi edir və eyni cinsi münasibətlər 1951-ci ildən Yunanıstanda qanuni olaraq qəbul edilir. Bu cür sifarişlərin məzmunu alıcı üçün çaşqın ola bilər, bu cür məlumatların yayılması hüquqi nəticələrə səbəb ola bilməzdi.

Ancaq hər yerdə bu belə deyil. Bazanı araşdırarkən bir kişi Pakistan istifadəçisi üçün sifariş məlumatlarına rast gəldik.

Bu müştəri bir silikon dildo aldı; əslində bazanın sonrakı yoxlanılması onun üçü satın aldığını göstərir. Hər bir satınalma bir qədər fərqli məlumatları ehtiva edir, buna görə bir küçə ünvanı yuxarıdakı şəkildə görünmür.

Pakistan, bir çox Qərb ölkəsinin bəyəndiyi cinsəliliklə eyni liberal münasibətdən bəhrələnmir.

Ölkənin sərt qanunlarda zina və nikahdan əvvəl cinsiyyətin cinayət əməlləri olduğu bildirilir həbs və cərimə ilə cəzalandırılır. Ölkənin dini qanunları daşqalaq və ya fiziki cəza ilə ölümə də imkan verir.

LGBT hüquqları məhduddur və eyni cəzalar tətbiq olunur. LGBT icması eyni zamanda sosial damğalara, hüquqi qorunmaya və LGBT insanların qəbul edilməsinə mane olan islamlaşmış bir cəmiyyətə əziyyət verir..

Mədəni olaraq, alıcının alıcının həyat yoldaşı üçün bu satın alma ehtimalı az olduğunu da qeyd etmək lazımdır.

Bu qanunlar, pakistanlı alverçimiz Gearbest-in açıq məlumat bazasının belə təhlükəli olduğuna ən yaxşı nümunədir. Sadə bir axtarış bizə tam adı, e-poçt ünvanı, küçə ünvanı və IP ünvanını verdi. Daha ətraflı bir axtarış, ehtimal ki, bizə əvvəlki sifariş məlumatlarını göstərməyə imkan verən doğum tarixini və hesab şifrəsini göstərə bilər.

Zərərli deyilik və bu (yüksək senzura edilmiş) məlumatı paylaşırıq bu açıq məlumat bazasının təhlükələrini vurğulayın. Digərlərinin çox fərqli niyyəti ola bilər. Pakistan hökumətinin əlində bu məlumat bu istifadəçi üçün hərfi ölüm hökmü demək ola bilər.

Gearbestin özünə necə ziyan vurması

Gearbest milyonlarla istifadəçinin məlumatlarını ifşa edir. Lakin, şirkət də özünə zərər verir.

Hakerlərimizin aşkarladığı indekslər yalnız istifadəçi məlumat bazaları üçün deyil. Gearbest – və Globalegrow – Kafka sisteminə URL girişi də daxil edildi.

Kafka, böyük korporasiyalara hər serverləri vasitəsilə göndərilən sayt məlumatlarının miqdarını idarə etməyə kömək edən məlumat idarəetmə proqramıdır. Bu iki məqsədə xidmət edir: serverin həddən artıq yüklənməsinin qarşısını alır və səmərəliliyi qoruyur və şirkətlərə böyük məlumat toplamağa imkan verir.

Bu cür giriş zərərli hakerlərə məlumatı manipulyasiya etməyə imkan verir, verilənlər bazasının xüsusiyyətlərini yenidən təyin edin və hətta şirkətin serverinin bütün bölmələrini deaktiv edin. Hər bir serverin funksiyasından asılı olaraq, bu, məlumatların toplanmasını, sifariş yerləşdirilməsini və fond və anbar idarəetməsini poza bilər.

Etik Hacking

Bu pozğunluğu bir hissəsi olaraq aşkar etdik etik hack layihəsi. Tanınmış ağ papaq aktivisti və haker olan Noam Rotem, Ran L. və onların komandası ilə birlikdə məlumatların sızması üçün IP blokları və sistem dəliklərini araşdıran veb tarama layihəsini həyata keçirir..

Verilənlər bazasının sahiblərini təsdiqlədilər məlumatların yaradılması, daxil edilməsi və eyniləşdirilməsi.

Globalegrowun olduğunu aşkar etdilər bütün verilənlər bazası müdafiəsiz və əsasən şifrəsizdir. Şirkət adətən URL istifadə üçün nəzərdə tutulmayan bir Elasticsearch verilənlər bazasından istifadə edir. Bununla birlikdə brauzer vasitəsi ilə daxil olmaq və URL axtarış meyarlarını hər an bir indeksdən 10000-ə qədər şemanı ifşa etməklə idarə edə bildik..

Etik hakerlər olaraq biz borcluyuq təhlükəsizlik qüsurlarını aşkarladığımız zaman veb saytlara çatırıq. Bir şirkətin məlumat pozması bu qədər insana təsir edərkən xüsusilə doğrudur və Gearbest vəziyyətində bu məsələ hər gün yüz minlərlə insana təsir göstərir..

Bununla birlikdə, bu etika bir daşıdığımızı da ifadə edir xalqa cavabdehlik. Redüktör alverçiləri istifadəçilərini qorumaq üçün səy göstərməyən bir saytdan istifadə edərkən atdıqları risklərdən xəbərdar olmalıdırlar.

Həm Gearbest, həm də Globalegrow ilə dəfələrlə əlaqə saxladıq bu pozuntu barədə onlara məlumat vermək və bu yazını nə vaxt dərc edəcəyimizi bildirmək. Bir neçə günlük xəbərdarlıq etdilər. Təəssüf ki, bu şirkətlərdən istifadəçilərini inkişaf etdirmələrini və qorumalarını istəməyimizə dair dəfələrlə cəhdlərimiz uğursuz oldu. Dərc olunduğu zaman hələ cavab almamışdıq.

Keçmiş hesabatlar

Bu yaxınlarda bunu ortaya qoyduq Dalil kütləvi məlumat pozuntusu ilə qarşılaşdı. Dalil Səudiyyə Ərəbistanının ən böyük telefon kataloqu tətbiqetməsidir və pozuntu 5 milyondan çox istifadəçiyə təsir edib. Bundan əlavə, istifadəçilərə nəzarət etmək üçün İranda istifadə olunan saxta tətbiqlər barədə hesabatımızı, VPN Kaçak Hesabatı və Məlumat Məxfilik Statistikaları Hesabatını oxumaq istəyə bilərsiniz..

Zəhmət olmasa bu hesabatı Facebook-da paylaşın və ya tvit edin.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map