Sızıntılar

Gearbest Müşterileri Tehlike Altında

Araştırmacılar, Çin'in popüler e-ticaret sitelerinden biri olan Gearbest'in veritabanlarına yetkisiz erişim sağlamayı başardı.

Ali
Cu, 15/03/2019 - 23:49
Gearbest Müşterileri Tehlike Altında

Gearbest, Çin kaynaklı popüler bir e-ticaret sitesidir. Gearbest, elektronik ürünlerden giyim ürünlerine kadar çok çeşitli ürün yelpazesiyle dünyanın her yerinden birçok müşteriye sahiptir ve her gün binlerce ürün sipariş edilmektedir.

Çok sayıda insanın kullandığı Gearbest'te araştırmacılar tarafından bir güvenlik zafiyeti keşfedildi. Bu zafiyet Gearbest'in veritabanlarına yetkisiz erişim sağlanmasına sebep olmakta ve bu veritabanlarındaki veriler şifresiz bir şekilde korunmakta.

Araştırmacılar, Gearbest'in veritabanına söz konusu zafiyeti kullanarak giriş yapmayı başardı ve aşağıdaki veritabanlarına erişim sağladı:

  • Sipariş veritabanı: Verilerin arasında, satın alınan ürünler, gönderim adresi ve posta kodu, müşteri ismi, e-posta adresi, telefon numarası gibi bilgiler bulunmaktadır.
  • Ödemeler ve faturalar veritabanı: Verilerin arasında, sipariş numarası, ödeme türü, ödeme bilgisi, e-posta adresi, isim, IP adresi gibi bilgiler bulunmaktadır
  • Üye veritabanı: Verilerin arasında, isim, adres, doğum tarihi, telefon numarası, eposta adresi, IP adresi, kimlik ve pasaport bilgisi, hesap şifreleri gibi bilgiler bulunmaktadır.

Araştırmacılar, söz konusu veritabanlarına Mart ayında eriştiklerini ve 1.5 milyondan fazla kayıt bulduklarını söyledi. Araştırmacılar, Gearbest'in "gizlilik politikasında" kullanıcı verisi topladıklarını söylediğini ve bu verileri şifrelenmiş olarak sakladıklarını söylediklerini ama söz konusu veritabanlarında bunun tam tersi olduğunu söyledi.

Araştırmacılar, e-posta adresleri ve şifreler dahil olmak üzere birçok hassas verinin bu veritabanında bulunduğunu ve bunların şifrelenmemiş olarak saklandığını ayrıca bu veritabanının, bir e-ticaret sitesi için ihtiyaç duyulmayacak kadar "kişisel olarak tanımlanabilir bilgi" içerdiğini söyledi.

Son olarak araştırmacılar, keşfettikleri söz konusu veri ihlalini Gearbest'e bildirdiklerini ancak şirketin henüz herhangi bir geri dönüş yapmadığını belirtti.

Şirket, bu veri ihlalini bir an önce gidermezse tüm müşterilerin kişisel bilgileri hackerlara açık bir şekilde veritabanlarında durmaya devam edecek gibi gözüküyor.