Nilalaman
- Ang mga database na kabilang sa tanyag na elektronikong nagtitingi na Gearbest ay tila naiwan ng kumpanya.
- Sinabi ng isang puting sumbrero ng puting sumbrero na higit sa 1.5 milyong mga tala ang naa-access, kabilang ang mga detalye sa pag-login
- Gearbest mula nang inangkin na ang mga tool ng pamamahala ng data ng third-party ay sisihin para sa insidente.
Ang Gearbest ay isa sa pinakasikat na mga tindahan ng elektronika at smartphone sa buong mundo, na naghahatid ng isang saklaw ng mga aparato sa eklectic mula sa China at lampas pa. Sa kasamaang palad, mukhang ang website ay hindi kumukuha ng sapat na pangangalaga ng impormasyon ng gumagamit nito.
Isang puting sumbrero ng puting sumbrero mula sa VPNMentor (h / t: Pulisya ng Android) natuklasan na ang database ng gumagamit ng Gearbest ay "ganap na hindi ligtas." Sinabi ng koponan na ang mga hacker ay maaaring ma-access ang iba't ibang mga database na may kaugnayan sa mga order, pagbabayad, at pangkalahatang impormasyon ng gumagamit.
Ang nabuong impormasyon na naiulat na kasama ang mga pangalan, numero ng ID, numero ng pasaporte, mga kasaysayan ng pag-order, mga address ng pagpapadala, mga detalye sa pagbabayad, mga email address, at mga password.
Inangkin ng koponan na nagawang ma-access ang impormasyong ito nang mas maaga sa buwang ito, idinagdag na natuklasan nito ang higit sa 1.5 milyong mga tala. Bukod dito, sinabi ng koponan na paulit-ulit na nakipag-ugnay sa Gearbest at sa kumpanya ng magulang upang ipaalam sa kanila ang tungkol sa paglabag, ngunit hindi ito tumanggap ng tugon.
Ipinaliwanag ni Gearbest ang paglabag
Ang online na tagatingi mula noong naglabas ng isang pahayag sa pamamagitan ng Pulisya ng Android, na sinasabing ang sarili nitong mga database at server ay "ganap na ligtas." Ang website ay subalit sinabi ng mga tool sa pamamahala ng data ng third-party ay maaaring mai-access ng iba.
"Ang mga panlabas na tool na ginagamit namin ay inilaan upang mapagbuti ang kahusayan at maiwasan ang labis na data at maiimbak lamang ang mga data sa naturang mga tool nang mas mababa sa tatlong araw ng kalendaryo bago ito awtomatikong nawasak," paliwanag ng website, na nagsasabing ginamit nito ang "malakas na mga firewall" upang maprotektahan ang mga tool na ito.
"Gayunpaman, ipinakikita ng aming pagsisiyasat na noong Marso 1, 2019, ang nasabing mga firewall ay nagkakamali na kinuha ng isa sa aming mga miyembro ng security team para sa mga kadahilanan na nasisiyasat pa. Ang nasabing hindi protektadong katayuan ay direktang nakalantad ang mga tool para sa pag-scan at pag-access nang walang karagdagang pagpapatunay. "
Naniniwala ang Gearbest na apektado ang mga gumagamit ay limitado sa ilang 280,000 mga gumagamit na nag-order ng mga item sa pagitan ng Marso 1 at Marso 15. Idinagdag nito na magpapadala ito ng isang email sa lahat ng mga apektadong gumagamit, habang "hindi aktibo" ang mga password ng mga bagong rehistradong gumagamit.
Hindi ito ang unang pagkakataon na nahuli si Gearbest sa isang sitwasyong tulad nito, dahil humigit-kumulang na 150 mga rekord ng gumagamit na dati nang tumama sa internet noong Disyembre 2017. Sa oras ng pangyayaring ito, sinabi ng website na malamang na ang mga hacker ay bumili o nakuha ang impormasyon sa pag-login ng gumagamit mula sa iba pang mga website at ginagamit ang mga detalyeng iyon sa isang bid upang mag-log in sa Gearbest account.
