Η γνωστή Gearbest μια μεγάλη Κινέζικη εταιρεία ηλεκτρονικών αγορών, αποκάλυψε εκατομμύρια προφίλ χρηστών και παραγγελίες αγορών, σύμφωνα με ερευνητές ασφαλείας.
Ο ερευνητής Noam Rotem ανακάλυψε ότι ένας διακομιστής της Elasticsearch διαρρέει εκατομμύρια αρχεία κάθε εβδομάδα. Σε αυτά συμπεριλαμβάνονται δεδομένα πελατών, παραγγελιών και αρχείων από πληρωμές. Ο διακομιστής δεν προστατεύεται καν με κάποιο κωδικό πρόσβασης, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση στα δεδομένα.
Η Gearbest κατατάσσεται σε μία από τις κορυφαίες 250 ιστοσελίδες παγκοσμίως και συνεργάζεται κορυφαίες εταιρείες, όπως οι Asus, Huawei, Intel και Lenovo.
Η ιστοσελίδα TechCrunch επικοινώνησε με την Gearbest μέσω μιας ειδικής σελίδας ασφαλείας, και φρόντισε να τους ενημερώσει για τον ευπαθή server. Παρά όμως την αναφορά η εταιρεία δεν κλείδωσε τα δεδομένα ούτε απάντησε στο αίτημα.
Ο Rotem, ο οποίος μοιράστηκε τα ευρήματά του με την TechCrunch, δήλωσε ότι μεταξύ των δεδομένων που κυκλοφορούν υπάρχουν ονόματα, διευθύνσεις, αριθμοί τηλεφώνου, διευθύνσεις ηλεκτρονικού ταχυδρομείου και παραγγελίες πελατών από προϊόντα που αγοράστηκαν. Η βάση δεδομένων διέθετε επίσης πληροφορίες για πληρωμές και τιμολόγια.
“Το περιεχόμενο των παραγγελιών κάποιων ανθρώπων έχει αποδειχθεί πολύ αποκαλυπτικό”, αναφέρει ο Rotem.
Οι εκτεθειμένες παραγγελίες όχι μόνο παραβιάζουν την ιδιωτική ζωή των πελατών, αλλά ενδέχεται να θέσουν σε κίνδυνο πελάτες της εταιρείας σε πάρα πολλά μέρη του κόσμου όπου η ελευθερία του λόγου και της έκφρασης είναι περιορισμένη. Ορισμένες από τις καταχωρίσεις αφορούν παιχνίδια σεξ και άλλες αγορές που θα μπορούσαν για παράδειγμα να οδηγήσουν σε νομικές παρεμβολές όπου οι LGBTQ σχέσεις απαγορεύονται δια του νόμου.
Χώρες όπως τα Ηνωμένα Αραβικά Εμιράτα και το Πακιστάν έχουν αυστηρότατους νόμους, οι οποίοι μπορούν να επιφέρουν θανατικές ποινές.
Η Gearbest με έδρα το Shenzhen έχει μεγάλη παρουσία στην Ευρώπη, με αποθήκες στην Ισπανία, την Πολωνία, την Τσεχική Δημοκρατία και το Ηνωμένο Βασίλειο, όπου ισχύουν οι νόμοι περί προστασίας δεδομένων και ιδιωτικότητας της ΕΕ. Έτσι σε κάθε εταιρεία που παραβιάζει τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR) μπορεί να επιβληθεί πρόστιμο ύψους μέχρι και στο 4% των συνολικών της εσόδων.
Αν έχετε κάποιο λογαριασμό στην ιστοσελίδα, δεν έχει νόημα να αλλάξετε κωδικό πρόσβασης, καθώς ο server είναι ακόμα ξέφραγο αμπέλι. Αυτό που μπορείτε όμως να κάνετε είναι να αλλάξετε κωδικό πρόσβασης όπου χρησιμοποιείτε τον ίδιο.
Πώς να ενεργοποιήσετε και να απενεργοποιήσετε έναν χρήστη στα Windows 10
