זה Gearbest (גירבסט) כפי שכולנו יודעים, מדובר בחנות מקוונת ענקית, המתמחה בעיקר במוצרים סיניים.
Μלאחר חשיפת פער האבטחה החמור ביותר בעמוד שלו GearBest, החברה הצהירה את ההצהרה הבאה:
אמנם גילינו שכל מסדי הנתונים המותקנים על השרתים המשמשים לאחסון או עיבוד הנתונים מוגנים בכל אמצעי ההצפנה הדרושים ומאובטחים לחלוטין, אך לחלק מהכלים החיצוניים שבהם אנו משתמשים כדי לאחסן את הנתונים באופן זמני יש גישה לאחרים ולכן עשויים הופרו.
הכלים החיצוניים שבהם אנו משתמשים נועדו לשפר את ההגנה ולמנוע עומס נתונים, והנתונים מאוחסנים בכלים כאלה למשך פחות מ-3 ימים קלנדריים לפני שהם מושחתים אוטומטית. בהתחשב בפרצות אפשריות של אבטחת מידע, הגנו על הכלים הללו באמצעות חומות אש חזקות כדי למנוע תקיפה זדונית של נתונים כאלה על ידי אחרים.
עם זאת, המחקר שלנו מגלה זאת 1 במרץ 2019, חומות אש הושבתו בטעות על ידי אחד מחברי צוות האבטחה שלנו, מסיבות שעדיין נמצאות בחקירה. חוסר הגנת נתונים זה על ידי חומות אש חשף את הנתונים הללו לסריקה ולגישה של צדדים שלישיים ללא אימות נוסף.
בשלב זה, אנו מאמינים כי ייתכן שהדבר השפיע על המצטרפים החדשים שלנו וכן על הלקוחות הוותיקים שלנו שביצעו הזמנות רכש ב-Gearbest במהלך התקופה מ- 1 במרץ 2019 עד 15 במרץ 2019, ועם מספר כולל של כ 280.000 הזמנות. למרבה המזל, פער האבטחה הזה תוקן על ידינו תוך שעתיים מרגע זיהויו, ואנו נחזק עוד יותר את ניהול האבטחה הפנימית שלנו כדי למנוע זאת בעתיד.
אנו מתנצלים בכנות על מה שקרה.
בנוסף למה שעשינו לעיל, אנו ננקוט בדחיפות צעדים להשבית את הסיסמאות של לקוחות שהתנתקו לאחרונה כדי למנוע כל התחברות לא חוקית לחשבונות שלהם, ואנו גם נשלח דוא"ל לכל הלקוחות הנוגעים בדבר כדי לעדכן אותם על המצב. הצהרה רשמית של GearBest
כפי שאתה יכול לראות, ניתן לעקוף את זה - אבל לא אלא אם כן אתה טכנאי שיודע מה הוא עושה.
להלן תוכל לראות את ההיסטוריה של בעיית פריצת האבטחה.
Σקהילת אנדרואיד, ה Gearbest (גירבסט) ידוע כאחת הדרכים הקלות ביותר לקנות מכשירים מ-Xiaomi וממותגים סיניים אחרים בארצות הברית.
אם קניתם משהו מ Gearbest (גירבסט) בעבר בכרטיס אשראי ולא דרך PayPal, יתכן שתצטרך לשקול החלפת כרטיס האשראי שלך, שכן נמצא שהמסד הנתונים הראשי של החברה אינו מבוטח לחלוטין.
צוות האבטחה של הצוות VPNMentor, בראשותו של נועם רותם, פרסם דו"ח על בטיחותו Gearbest (גירבסט). הצוות מצא כי מסד הנתונים הראשי של האתר, כמו גם מסדי הנתונים של האחים של האתר (כולל Zaful, Rosegal ו-DressLily) נגישים בקלות ומכילים למעלה מ-1,5 מיליון קבצים.
חלק מהמידע הנגיש כולל מיילים, סיסמאות חשבון, כתובות IP, ימי הולדת, כתובות, פרטי תשלום ושמות מלאים.
הצוות הצליח להתחבר לשני חשבונות ללא מאמץ רב. גם התוכן המדויק של ההזמנות של כל לקוח גלוי. קונסולת ניהול הנתונים שלו Gearbest (גירבסט) היה גם נגיש, מה שאומר שהאקרים יכלו לתפעל בקלות מידע על האתר, להשבית חלקים משרתי החברה, ואפילו לשבש את פעילות המחסן. Gearbest (גירבסט).
ניתן לומר בבטחה שסוג זה של פריצת מידע היא הגרועה ביותר שיכולה לקרות, וייתכן שזה רעיון טוב לנקוט בפעולה לפני השימוש בכרטיס אשראי לביצוע רכישות מ-Gearbest.
עד כה אין תגובה רשמית מ-GearBest לכל האמור לעיל, ונשאר לראות אילו צעדים היא תנקוט כדי לתקן את בעיית האבטחה שמתעוררת.
הערה : בדרך כלל זו בעיה שיכולה להתקיים בהרבה חנויות ושירותים אונליין אחרים, ועדיף לא לבצע את העסקאות שלנו באמצעות כרטיס אשראי אלא באמצעות שירותי צד שלישי כגון Paypal - כרטיסים משולמים מראש - הזמנות תשלום וכו'.
ושימו לב!!!!
אנחנו אף פעם לא נותנים פרטי בנק - כרטיסים וכו' לדפים שאין להם חיבור מאובטח דרך https: // אלא http: // הפשוטה
[the_ad_group id = ”966 ″]