Το Gearbest όπως σχεδόν όλοι γνωρίζουμε, είναι ένα τεράστιο ηλεκτρονικό κατάστημα, που ειδικεύεται κυρίως σε κινεζικά προϊόντα.
Μετά από την αποκάλυψη του σοβαρότατου κενού ασφαλείας στην σελίδα του GearBest, η εταιρεία προχώρησε στην παρακάτω δήλωση:
Ενώ διαπιστώσαμε ότι όλες οι εγκατεστημένες βάσεις δεδομένων στους διακομιστές που χρησιμοποιούνται για την αποθήκευση ή την επεξεργασία των Δεδομένων, προστατεύονται με όλα τα απαραίτητα μέτρα κρυπτογράφησης και είναι απόλυτα ασφαλή, ορισμένα από τα εξωτερικά εργαλεία που χρησιμοποιούμε για την προσωρινή αποθήκευση δεδομένων ενδέχεται να έχουν πρόσβαση σε άλλους και επομένως, μπορεί να έχουν παραβιαστεί.
Τα εξωτερικά εργαλεία που χρησιμοποιούμε έχουν σκοπό να βελτιώσουν την προστασία και να αποτρέψουν την υπερφόρτωση δεδομένων και τα δεδομένα αποθηκεύονται σε τέτοια εργαλεία για λιγότερο από 3 ημερολογιακές ημέρες πριν καταστραφούν αυτόματα. Λαμβάνοντας υπόψη τις ενδεχόμενες παραβιάσεις της ασφάλειας των δεδομένων, προστατεύσαμε τα εργαλεία αυτά με ισχυρά τείχη προστασίας (Firewalls) για να αποφύγουμε την παραβίαση τέτοιων δεδομένων από κακόβουλη επίθεση από άλλους.
Ωστόσο, η έρευνά μας αποκαλύπτει ότι την 1η Μαρτίου 2019, τα τείχη προστασίας (Firewalls) απενεργοποιήθηκαν λανθασμένα από ένα από τα μέλη της ομάδας ασφαλείας μας, για λόγους που εξακολουθούν να υπόκεινται σε έρευνα. Αυτή η έλλειψη προστασίας των δεδομένων από τους Firewalls, έχει εκθέσει τα δεδομένα αυτά σε σάρωση και πρόσβαση από τρίτους χωρίς περαιτέρω επαλήθευση ταυτότητας.
Προς το παρόν, πιστεύουμε ότι αυτό μπορεί να έχει επηρεάσει τους νεοεισερχόμενους πελάτες μας καθώς και τους παλιούς πελάτες μας που έδωσαν εντολές αγορών στο Gearbest, κατά την περίοδο από 1 Μαρτίου 2019 έως 15 Μαρτίου 2019, και με συνολικό αριθμό περίπου τις 280.000 εντολές. Ευτυχώς, αυτό το κενό ασφαλείας διορθώθηκε από εμάς εντός δύο ωρών αμέσως μετά την ανίχνευσή του, και θα ενισχύσουμε περαιτέρω τη διαχείριση της εσωτερικής μας ασφάλειας για να αποφύγουμε να συμβεί κάτι τέτοιο στο μέλλον.
Σας ζητούμε ειλικρινά συγνώμη για το τι συνέβη.
Εκτός από ό, τι έχουμε κάνει τις παραπάνω ενέργειες, θα λάβουμε επειγόντως μέτρα για την απενεργοποίηση των κωδικών πρόσβασης αυτών των νεοαποκοινωθέντων πελατών για αποφυγή τυχόν παράνομης σύνδεσης στους λογαριασμούς τους, και θα στείλουμε επίσης ηλεκτρονικό ταχυδρομείο σε όλους τους ενδιαφερόμενους πελάτες για την ενημέρωση της κατάστασης.Επίσημη δήλωση του GearBest
Όπως καταλαβαίνετε τα πράγματα είναι αρκετά σοβαρά, και αν έχετε κάνει και εσείς αγορές κατά το αναφερόμενο διάστημα, καλό είναι να προβείτε σε προληπτικές ενέργειες, όπως για παράδειγμα την ακύρωση της πιστωτικής σας κάρτας, και έκδοση νέας.
Παρακάτω βλέπετε το ιστορικό του προβλήματος με την παραβίαση ασφαλείας.
Στην κοινότητα Android, το Gearbest είναι γνωστό ως ένας από τους ευκολότερους τρόπους για την αγορά συσκευών από τη Xiaomi και άλλων κινεζικών εμπορικών σημάτων στις Ηνωμένες Πολιτείες.
Εάν έχετε αγοράσει κάτι από το Gearbest στο παρελθόν με πιστωτική κάρτα και όχι μέσω του PayPal, ίσως θα πρέπει να σκέφτεστε την αλλαγή της πιστωτικής σας κάρτας, καθώς η κύρια βάση δεδομένων της εταιρείας βρέθηκε ότι είναι εντελώς ανασφάλιστη.
Η ομάδα ασφάλειας της ομάδας VPNMentor, με επικεφαλής τον Noam Rotem, δημοσίευσε μια έκθεση σχετικά με την ασφάλεια του Gearbest. Η ομάδα διαπίστωσε ότι η κύρια βάση δεδομένων του ιστότοπου, καθώς και οι βάσεις δεδομένων των αδελφών του ιστότοπων (συμπεριλαμβανομένων των Zaful, Rosegal και DressLily) είναι εύκολα προσβάσιμες και περιέχουν πάνω από 1,5 εκατομμύρια αρχεία.
Ορισμένες από τις προσβάσιμες πληροφορίες περιλαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου, κωδικούς πρόσβασης λογαριασμού, διευθύνσεις IP, γενέθλια, διευθύνσεις, πληροφορίες πληρωμής και πλήρη ονόματα.
Η ομάδα μπόρεσε να συνδεθεί σε δύο λογαριασμούς χωρίς ιδιαίτερη προσπάθεια. Το ακριβές περιεχόμενο των παραγγελιών κάθε πελάτη είναι επίσης ορατό. Η κονσόλα διαχείρισης δεδομένων της Gearbest ήταν επίσης προσβάσιμη, πράγμα που σημαίνει ότι οι χάκερ θα μπορούσαν να χειριστούν εύκολα πληροφορίες σχετικά με τον ιστότοπο, να απενεργοποιήσουν τμήματα των διακομιστών της εταιρείας, και ακόμη και να διαταράξουν τις λειτουργίες στις αποθήκες του Gearbest.
Είναι ασφαλές να πούμε ότι τέτοιου είδους παραβιάσεις δεδομένων είναι ότι χειρότερο μπορεί να συμβεί, και ίσως είναι καλή ιδέα να λάβετε τα μέτρα σας προτού κάνετε χρήση κάποιας πιστωτικής κάρτας για αγορές από το Gearbest.
Μέχρι στιγμής δεν υπάρχει επίσημη απάντηση από το GearBest για όλα τα παραπάνω, και μένει να δούμε ποια μέτρα θα λάβει ώστε να διορθώσει το πρόβλημα ασφάλειας που προκύπτει.
Σημείωση : Γενικά αυτό είναι ένα πρόβλημα που μπορεί να υπάρχει και σε πολλά πολλά άλλα On-Line καταστήματα και υπηρεσίες, και καλό είναι να μην κάνουμε τις συναλλαγές μας μέσω πιστωτικής κάρτας αλλά μέσω τρίτων υπηρεσιών όπως το Paypal – Προπληρωμένες κάρτες – Εντολές πληρωμών κτλ.
ΚΑΙ ΠΡΟΣΟΧΗ !!!!
Ποτέ μα ποτέ δεν δίνουμε στοιχεία τραπεζών – καρτών κτλ, σε σελίδες που δεν έχουν ασφαλή σύνδεση μέσω https:// αλλά το απλό http://
[the_ad_group id=”966″]Μην ξεχνάτε την συμμετοχή σας (εγγραφή) στο φόρουμ μας, η οποία και μπορεί να γίνει πολύ εύκολα από το παρακάτω πλήκτρο…
(Αν έχετε ήδη λογαριασμό στο φόρουμ μας δεν χρειάζεται να ακολουθήσετε τον σύνδεσμο εγγραφής)
Ακολουθήστε μας και στο Telegram !
