Отчет об уязвимости баз данных компании Gearbest: под ударом данные сотен тысяч пользователей

Под руководством Ноама Ротема (Noam Rotem), известного этичного хакера и активиста, исследовательская группа VPNMentor обнаружила серьезную уязвимость баз данных компании Gearbest.

Gearbest — это успешная китайская компания, занимающаяся электронной торговлей. На сайте Gearbest ежедневно совершаются сотни тысяч покупок.

Там можно купить электронику, бытовую технику, одежду, аксессуары и товары для дома. В ассортименте есть некоторые всемирно известные бренды (например, OnePlus), однако большая часть товаров представлена относительно малоизвестными китайскими брендами.

Компания доставляет товары в более чем 250 стран и территорий по всему миру, а ее сайт входит в сотню лучших почти в 30% этих регионов. Gearbest переведен на 18 языков, что делает его по-настоящему глобальный сервисом.

Gearbest принадлежит китайскому конгломерату Globalegrow. Материнская компания управляет рядом всемирно успешных сайтов, в том числе Zaful, Rosegal и DressLily. В 2015 году их продажи составили 550 миллионов долларов США; в 2017 году оборот компании достиг 1,48 миллиарда долларов.

Такой успех, вне всякого сомнения, —  это настоящий триумф Gearbest и других дочерних компаний. Впрочем, для клиентов их сайтов все не так уж и радостно.

vpnMentor предоставляет вам сенсационную информацию о том, что базы данных Gearbest абсолютно незащищены. И такая же ситуация с другими сайтами дочерних компаний Globalegrow.

Утечка данных Gearbest

Наши хакеры смогли получить доступ к разным частям базы данных Gearbest, включая:

• Базу заказов
  Здесь хранится информация о приобретенных товарах, адресах доставки, почтовых индексах, именах покупателей, адресах их электронной почты и номерах телефонов;
• Базу платежей и счетов
  Здесь хранится информация о номерах заказов, типах оплаты, платежных данных, адресах электронной почты, именах пользователей и их IP-адресах
• Базу пользователей
  Здесь хранится информация об имени, адресе, дате рождения, номере телефона, адресе электронной почты, IP-адресе, паспортных данных и пароле от учетной записи пользователя.

В марте 2019 года мы получили доступ к этим базам и нашли более 1,5+ миллионов записей.

База данных Gearbest не просто не защищена. Она еще и предоставляет потенциально опасным вредоносным программам и злоумышленникам постоянно обновляемые данные.

Проблемы безопасности

Помимо возможности получить доступ к полному набору личной информации миллионов пользователей, такая незащищенность баз данных Gearbest влечет за собой ряд других серьезных проблем.

Приватность пользователей

Компания Gearbest честно заявляет в своей политике конфиденциальности, что собирает пользовательские данные, чтобы предоставлять более качественные услуги.

В политике конфиденциальности также упоминается, что хотя пользователи сами несут отвественность за надежностью своих паролей, Gearbest шифрует важные данные, используя внешнее ПО для верификации в целях защиты клиентов.

Но данные, к которым мы получили доступ, говорят об обратном — мегабайты конфиденциальной информации, в том числе адреса электронной почты и пароли, не были зашифрованы вообще никак.

Кроме того, в базах данных содержится множество информации, позволяющей идентифицировать личность пользователей, но при этом не требующихся интернет-магазину (пусть даже и крупному) для работы. Конечно, сервису нужно знать адрес доставки, но зачем ему знать IP-адрес пользователя?

Этот факт особенно беспокоит, учитывая текущую тенденцию у более открытому и прозрачному интернету. Поставщики услуг в различным отраслях, от CyberGhost VPN до Walmart, стремятся повысить прозрачность для своих пользователей. Такая теневая игра Gearbest приводит к обратному результату.

Кажется, Gearbest нарушает собственную политику конфиденциальности. Но даже это нельзя назвать самой серьезной угрозой.

Безопасность пользователей

Открытая база данных с личной информацией — это колоссальная угроза для онлайн-безопасности пользователей. А тут речь и вовсе идет о полных наборах незашифрованных данных, в том числе адресах электронной почты и паролях.

Стоит отметить, что некоторые адреса электронной почты все же были частично зашифрованы. Мы не можем сказать, было ли это сделано специально и планировалось применить ко всей информации или же это результат поврежденния данных. В любом случае наши хакеры считают, что такая частичная защита ничем не лучше ее полного отсутствия.

На скриншоте ниже показаны сниппеты из двух наборов пользовательских данных, извлеченных из БД сервиса.

Мы смогли войти в эти две учетные записи Gearbest и работать в них так же, как если бы мы были их владельцами. Мы смогли получить доступ к истории заказов, к текущим заказам, накопленным бонусным баллам Gearbest, а также смогли сменить пароль и изменить личную информацию.

Менее этичные хакеры могут воспользоваться этим, чтобы устроить диверсию на «локальном» уровне: получив доступ к учетной записи, они смогут менять заказы, данные учетной записи и тратить деньги, если пользователь ранее добавил и сохранил тот или иной метод оплаты.

Однако всем этим можно воспользоваться и в куда более серьезных и разрушительных целях. Проведя перекрестный анализ баз данных сервиса, хакеры смогут без проблем украсть личные данные пользователей Gearbest.

Как вы можете увидеть ниже, база данных с информацией о пользователях, включает в себя такие поля, как IP-адрес, полный почтовый адрес, адрес электронной почты, дату рождения и, что страшнее всего, номер и серию паспорта.

Конечно, все зависит от страны и ситуации, однако в России такого набора данных хакерам хватит, чтобы получить доступ к сайтам типа Госуслуг, банковским приложениям, медицинской информации и не только.

Платежные данные

Изучая базу данных, хранящую данные о платежах и счетах, мы заметили термин “Boleto”. Он встречался, когда речь шла о заказах из Бразилии (порядка 9,2% общего трафика Gearbest приходится на пользователей из этой страны).

Этот термин значит Boleto Bancario («банковский билет», если переводить буквально) — метод оплаты, который регулируется Федерацией банков Бразилии.

Он схож с платежной системой Oxxo, которая применяется в Мексике и позволяет создать что-то вроде виртуальной дебетовой карты. Суть проста: пользователь заводит счет, пополняет его и тратит столько, сколько считает нужным… но не больше, чем есть на счете. У каждой карты есть свой уникальный защитный код.

Но вернемся к базе данных: записи о платежах, выполненных таким образом, содержат поле с URL, которое называется “ebanx”. Если перейти по соответствующим ссылкам, то можно получить доступ к этим картам! Да-да, в том числе к деньгам, хранящимся на них. Все верно, в этой базе данных есть уникальные защитные коды карт Oxxo и Boleto, зная которые, хакерам не составит труда по-своему распорядиться чужими деньгами. Также мы смогли получить доступ к выпискам по счетам пользователей, а эти документы, как вы понимаете, содержат все банковские данные пользователей.

Данные заказа: скандал с секс-игрушками

В базе данных заказов можно узнать точное содержание заказа. Там указано вообще все: бренд, цвет, размер, стоимость каждого отдельного товара, имя покупателя и даже адрес доставки.

С учетом того, какая информация хранится без какой-либо защиты в других базах данных сервиса, это все может показаться пустяком. Вот только далеко не все будут рады, если посторонние узнают о содержимом их посылок. В ряде случаев это даже может угрожать здоровью и жизни!

В разделе Sales категории Apparel на сайте Gearbest можно найти самый широкий ассортимент секс-игрушек. Что же это может значить для пользователей, если вспомнить про возможность получить доступ к базе данных магазина без особого труда? Информация о содержимом ваших личных посылок может очень быстро стать достоянием широкой общественности!

Конечно, взрослые люди из самых разных стран мира не видят ничего дурного в том, чтобы приобрести себе что-нибудь эдакое. Вот, например, заказы пользователей из Бразилии и Греции.

Но в этих странах с сексуальностью вообще и гомосексуальностью в частности юридических проблем нет. В Бразилии, к примеру, проводится крупнейший в мире прайд-парад, а однополые отношения в Греции были узаконены аж в 1951 году. Неприятно, конечно, что любой желающий сможет узнать, что именно было в посылке, но публикация этих данных не сулит покупателям из этих стран проблем с законом.

Вот только страны бывают разные. Так, мы нашли в этой базе данных заказ, сделанный проживающим в Пакистане мужчиной.

Он купил силиконовый дилдо — точнее сказать, целых три. Для каждой покупки он вводил разные данные, вот почему на скриншоте выше адрес показан лишь очень частично.

Пакистан с куда меньшим либерализмом относится к сексуальности. То, что для жителей западных стран считается чем-то естественным, в Пакистане вполне может быть под запретом.

Так, строгие законы этой страны приравнивают супружеские измены и секс до брака к уголовным преступлениям. За такое в Пакистане людям грозят штрафы и даже тюремное заключение. Еще в Пакистане уважают шариат, а в шариате за такое полагается смерть.

Про права ЛГБТ в этой стране и говорить не приходится — их ждут штрафы, тюрьмы и даже забрасывание камнями. ЛГБТ-сообщество в исламских странах зачастую страдает от социальной стигматизации и отсутствия юридической защиты. В исламских странах ЛГБТ-людей не считают за равных.

Опять же, уместно будет предположить, что тот мужчина из Пакистана явно покупал дилдо не своей жене — культурный, знаете ли, аспект.

В общем, становится понятно, почему этот покупатель явно не обрадуется тому, что базы данных Gearbest ничем не защищены. Простой поисковый запрос дал нам доступ к его полному имени, адресу электронной почты, адресу проживания и IP-адресу. Копни мы глубже, наверняка бы нашли его дату рождения и пароль от учетной записи, а тогда узнали бы, что он заказывал раньше.

Само собой, мы предоставили все эти скриншоты (с цензурой, как вы можете убедиться сами) лишь для того, чтобы подчеркнуть всю опасность отсутствия защиты у таких баз данных. Но хакеры, знаете ли, бывают разные. Если правительство Пакистана получит доступ к этой информации, то ничем хорошим это не кончится.

Почему компания Gearbest вредит сама себе

Сайт Gearbest открывает доступ к личной информации миллионов пользователей. Тем не менее, компания также наносит ущерб себе.

Наши хакеры добрались не только до пользовательских баз данных сервиса. Они получили доступ к внутренней системе управления данными Gearbest (и Globalegrow!), которая называется Kafka.

Kafka — это система управления данными, позволяющая управлять трафиком, проходящим через серверы конгломерата. По сути, у Kafka две цели: 1) избежать перегруженности серверов и обеспечить их эффективную работу; 2) дать компаниям возможность собирать большие данные.

Такой уровень доступа позволит хакерам манипулировать данными, менять свойства баз данных и даже отключать серверы компании целиком. В зависимости от того, за что отвечает тот или иной сервер, это может привести к нарушению сбора данных, невозможности обработать заказ или серьезным перебоям в работе складов.

Этичный хакинг

Мы обнаружили эту проблему, работая над проектом, посвященным этичному хакингу. Ноам Ротем, известный этичный хакер и активист, вместе с Рэном Л. (Ran L.) и его командой занимается веб-сканированием, которое проверяет IP-блоки и системные дыры на предмет утечек данных.

Они проверяют владельцев баз данных, создавая, вводя и идентифицируя данные.

Так они и обнаружили, что все базы данных Globalegrow ничем не защищены и практически не зашифрованы. Более того, этот конгломерат использует базы данных Elasticsearch, которые в принципе не были созданы для использования URL. Однако, что мы смогли получить доступ к ней прямо через браузер! Изменение поискового запроса в поле URL позволило нам извлекать до 10 000 схем из отдельного индекса за раз.

Придерживаясь этического подхода, мы считаем своей обязанностью сообщать владельцам сайтов о найденных проблемах. Это особенно актуально в случае компании масштаба Gearbest, чья безответственность может поставить под удар сотни тысяч пользователей каждый день по всему миру.

Впрочем, этический подход требует от нас рассказывать обо всем еще и широкой пользовательской аудитории. Клиенты Gearbest должны иметь представление о рисках, связанных с использованием этого сайта, который не прикладывает вообще никаких усилий, чтобы защитить своих пользователей.

Мы несколько раз пытались связаться с представителями Gearbest и Globalegrow, чтобы сообщить им о выявленных нарушениях. Также они получили заблоговременное уведомление о публикации данной статьи и имели достаточное количество времени, чтобы исправить все. К сожалению, наши неоднократные попытки связаться с компанией и рекомендации усилить защиту данных своих пользователей, оказались безуспешными. На момент публикации мы так и не получили ответ.

Предыдущие отчеты

Не так давно мы обнаружили, что компания Dalil стала жертвой серьезной утечки данных. Dalil — это крупнейшая в Саудовской Аравии база данных телефонных номеров. От утечки данных пострадало не менее 5 миллионов пользователей. Также почитайте наш отчет про фейковые приложения, с помощью которых в Иране следят за пользователями, отчеты про утечки данных у VPN и отчет о приватности данных.

Пожалуйста, поделитесь этим отчетом в социальных сетях.