Исследовательская группа VPNMentor обнаружила серьёзную уязвимость баз данных интернет-магазина GearBest. По мнению экспертов, система защиты информации о покупателях отсутствует напрочь, о чём они подробно рассказали в большом отчёте.
Хакеры VPNMentor, тестировавшие защиту GearBest, легко получили доступ к именам покупателей, их паспортным данным, паролям учётных записей, адресам доставок, электронной почте, физическому адресу, номерам телефонов, спискам купленных товаров и многим другим совершенно конфиденциальным сведениям.
Воспользовавшись этими данными, тестировщики смогли войти в несколько учётных записей так же, как если бы они ими и владели. Злоумышленники в таком случае могут изменить всю личную информацию и, к примеру, просто менять адреса доставок на все ваши заказы.
Потерять таким образом покупки или даже аккаунт — меньшее из зол. Куда опаснее если злоумышленники попытаются воспользоваться полученными личными данными. В России такого набора сведений хватит, чтобы получить доступ к сайтам типа Госуслуг, банковским приложениям, медицинской информации и не только.
Кроме данных пользователей хакеры добрались до внутренней системы управления данными GearBest и компании Globalegrow, владеющей магазином. Такой уровень доступа позволяет легко манипулировать коммерческими сведениями, менять свойства баз и даже отключать серверы целиком.
Хакеры VPNMentor пытались связаться с представителями GearBest и Globalegrow, чтобы сообщить им о выявленных проблемах. Но на данный момент ответа они так и не получили.