Незащищенные базы данных Gearbest подвергают риску миллионы пользователей
Amazon занимает лидирующие позиции в области электронной коммерции, но есть и другие игроки, особенно в других регионах и на небольших рынках. В Китае есть такие продукты, как Alibaba и Gearbest, многие из которых работают по всему миру. Только Gearbest обслуживает 250 стран, а его клиенты исчисляются в миллионах. И все они имеют свои личные аккаунты, данные которых утекают в сеть из-за худших настроек безопасности.
Когда ваш бизнес связан с онлайн-покупками, вы, естественно, будете владеть важной информацией. У вас будут, среди прочего, имя покупателя, физический адрес, адрес электронной почты, номер телефона и данные карт для оплаты. В ваших же интересах защищать эти данные не только потому, что это полезно для доверия вашему бизнесу, но и потому, что в некоторых юрисдикциях это требуется законом.
На китайском сайте электронной коммерции Gearbest действует политика конфиденциальности, которая явно гарантирует безопасность клиентам. Помимо указания, какие данные он собирает, он также сообщает пользователям, что эти данные тщательно защищены с помощью шифрования. В новом отчете о безопасности утверждается иное, и в нем рассказывается, как действия Gearbest были полностью противоположны заявлениям компании.
Базы данных о заказах, платежах и пользователях Gearbest оказались в открытом доступе. Опытному хакеру не потребовалось много времени, чтобы проникнуть в систему сайта и извлечь данные. Что еще хуже, так это то, что лишь немногие из этих фрагментов данных были зашифрованы, что делает доступ слишком легким для того, кто хочет попасть в базу данных и взять то, что ему нужно.
Отсутствие общепринятых в отрасли мер безопасности Gearbest представляет собой не только угрозу кражи личных данных, но и создает потенциальную угрозу для пользователей. Базы данных могут иметь перекрестные ссылки, чтобы найти дополнительную информацию о пользователях, которую впоследствии можно будет использовать для шантажа или, что еще хуже, передать их злоумышленникам. vpnMentor, который обнаружил и проверил нарушение данных, сообщил Gearbest о проблеме. К сожалению, компания не предприняла никаких действий и пока даже не отреагировала на отчет.
