Zakupy w chińskich sklepach są dość popularnym w naszym kraju hobby, a dla niektórych także źródłem zarobku. Towar bywa także dobrej jakości, a ceny są niskie. Ceną może być także bezpieczeństwo naszych danych.

Noam Rotem, zajmujący się analizami bezpieczeństwa, natrafił w sieci na ciekawą bazę danych. Okazała się nią otwarta dla każdego zwiedzającego instancja Elasticsearch, zawierająca setki tysięcy rekordów dotyczących zakupów i klientów jednego z największych sklepów internetowych świata, chińskiego Gearbest.

Baza leży i czeka

Jak opisuje serwis TechCrunch, pierwsze ślady dostępności bazy w sieci sięgają 7 marca. Na jej trop mógł (i podobno nadal może) natrafić każdy, kto uda się na poszukiwania. Zidentyfikowana baza danych zawiera dane klientów firmy oraz zakupów, jakich dokonali w serwisie. Znaleźć tam można takie informacje jak imię, nazwisko, adres e-mail, numer telefonu, adres dostawy, adres IP, data urodzenia, nazwy zakupionych przedmiotów, a także w niektórych przypadkach numer dokumentu tożsamości klienta. Baza ma podobno zawierać również informacje o sposobie płatności za zakupy. Według odkrywcy baza zawiera ponad półtora miliona rekordów, a nowe napływają regularnie.

Brak reakcji Gearbest?

Autor odkrycia twierdzi, że informacje o zidentyfikowanej bazie przekazał firmie Gearbest, jednak nie otrzymał żadnej informacji zwrotnej, a baza rzekomo nadal dostępna jest w sieci.

Nietypowy raport o odkryciu

Musimy zwrócić Waszą uwagę na pewne fakty, które są w tym przypadku dość nietypowe. Obszerny raport o wycieku opublikował serwis VPN Mentor, zajmujący się pośrednictwem w sprzedaży usług VPN. Nie linkujemy do niego, gdyż w artykule jego twórców znajdują się dość natrętne linki zachęcające do kupowania usług VPN lub pozycjonujące ich witrynę, a do takich serwisów nie mamy zbyt wielkiego zaufania. Z kolei sam raport znacząco odbiega od standardów. Znajduje się w nim bardzo mało informacji technicznych, a niektóre opisy są bardzo niejednoznaczne. Autor np. wspomina, że „część rekordów” używała „częściowego haszowania” adresów e-mail. Co to oznacza, pozostaje nam tylko zgadywać. Także opis przebiegu zgłaszania problemu właścicielowi bazy pozostawia wiele do życzenia – brak na przykład dat prób kontaktu. Wiele miejsca poświęcono również kwestii ujawnienia danych osób kupujących wibratory, podczas gdy nie ma ani dokładnych statystyk objętości samej bazy, informacji, czy zawiera dane wszystkich klientów, czy tylko wybranych, ani informacji technicznych. Sama dostępność danych w sieci nie budzi wątpliwości, lecz detale incydentu (lub przynajmniej sposób lub brak ich ujawnienia) pozostawiają sporo do życzenia.

Czy zmieniać hasło?

Autor informacji o wycieku wskazuje, że w bazie miały znajdować się hasła klientów Gearbest. Nie wiadomo, czy całe, czy hasze haseł, czy wszystkich klientów – ale w takiej sytuacji lepiej jest je zmienić, niż żałować.

Źródło:/zaufanatrzeciastrona.pl/