Китайский онлайн-магазин Gearbest ставит под угрозу своих покупателей

Исследователи VPNMentor обнаружили в сети незащищенную базу данных Elasticsearch, принадлежащую крупному китайскому интернет-магазину Gearbest (cогласно утверждениям на его собственном сайте, Gearbest продает электронику и бытовую технику, а также одежду и товары для дома 5000 ведущих китайских брендов более чем в 200 стран мира). Подобные находки в последнее время далеко не редкость, однако случай Gearbest выделяется даже на общем неблагополучном фоне.

База данных содержит более 1,5 миллиона записей о клиентах компании, включая такие персональные данные, как имена, адреса проживания и электронной почты, IP-адреса, номера телефонов, пароли для входа в учетные записи, информацию о приобретенных товарах, данные использованных для оплаты банковских карт и т.д. Все эти данные хранились в незашифрованном виде. Таким образом, любой пользователь, отыскавший базу данных в сети, имел возможность не только похитить персональные данные клиентов Gearbest, но и входить в их учетные записи, изменять пароли и даже совершать покупки, расплачиваясь их банковскими картами или накопленными бонусными баллами.

Специалисты VPNMentor подвергли онлайн-магазин резкой критике не только за вопиющую небрежность в обращении с персональными данными, но и за заведомо ложные утверждения, которые содержатся в опубликованной на сайте Gearbest политике конфиденциальности. Там, в частности, сказано, что компания хранит только данные, необходимые для осуществления операций, и только в зашифрованном виде. Очевидно, что эта информация совершенно не соответствует действительности.

Источник: SCMagazine