Как стать автором
Обновить

Китайский онлайн-ритейлер Gearbest оставил в открытом доступе базу данных с миллионами персональных данных покупателей

Информационная безопасностьАдминистрирование баз данных
Из песочницы
Всего голосов 40: ↑39 и ↓1 +38
Просмотры12.9K
Комментарии 15

Комментарии 15

1. Это очередной раз подтверждает недавно высказанный здесь тезис, что персональные данные пользователей бизнес не волнуют, что в общем логично. Ну хакнули и хакнули — извинятся и всё.
2. Gearbest торгует вполне обычным товаром. Вот если бы хакнули что-то в духе Pulse & Cocktails store — было бы забавно.
3. Интересно как можно использовать полученные данные — номеров карт я так понимаю нет, хотя если есть пароли к заказам — то там возможно сохранены данные карты, но вряд ли их можно вытащить. Хотя как добавочная информация при поиске инфы о человеке — может помочь каждая мелочь.
4. Возмущаемся, вздыхаем… и продолжаем покупать в интернет-магазинах.
Ну как минимум для атак основанных на социнженерии. Одно дело когда пишут «уважаемый хз кто вас ждут столимонов» и совсем другое «уважаемая Ирвин Китишь, ваш заказ с гирбеста был бракованным, по этому мы решили выслать вам новый комбайн/телевизор/звезду смерти. К сожалению вы должны опять оплатить доставку по такому-то адресу ...»
Н-да. У самого две покупки в ГБ — вот думаю — написали бы мне — типа этого товара нет, но есть гораздо лучше, но дороже на 10$. Вот вам спецсайт наших партнеров для доплаты. Я бы призадумался. Да. Сейчас напридумаем тут.
На скрине совсем не звезды смерти заказывали, при чем в обоих заказах, и в греческом и в бразильском. В некоторых случаях ряд товар (допустим скрытые камеры если речь про россию) могут быть поводов для попыток выманить деньги — «мы знаем что Вы заказывали прошлым летом, пришлите денег что бы мы остались единственными кто это знает»©
хакнули и хакнули — извинятся и всё.

We're sorry!
Ну, и с другой стороны, что может сделать GB или другая компания, у которой были «утеряны» данные для минимизации потенциальных сложностей у субъектов этих данных? Принудительно заменить пароль или что можно предпринять, если действие УЖЕ произошло.

Санкции со стороны государства могут стимулировать обращение внимание на важность вопросов защиты в будущем, а не в прошлом.

Ну, например, опубликовать подробный разбор полетов: почему это произошло, какие действия предприняты, чтобы не допустить повторения ситуации. Со всеми техническими подробностями. Еще можно заказать сторонний аудит и опубликовать отчет о внедрении рекомендаций.

По поводу пункта 2: приглядитесь внимательнее к КДПВ и насладитесь забавным)
ОМГ! А думал, что бывают скриншоты… которые просто скриншоты. Как много я не знал о Gearbest!
Выбранный в качестве КДПВ скриншот в оригинальной статье служит для иллюстрации того, насколько чувствительна информация, и того, что для граждан некоторых странах публикация таких данных может представлять угрозу реального уголовного преследования (там есть ещё скриншот покупки дилдо пользователем из Пакистана).
А теперь попросим на трибуну начальника транспортного цеха. Пусть доложит об изыскании внутренних резервов. Доложьте нам!
gearbest — трибуна ваша, общественность замерла в ожидании.
«А в остальном, прекрасная маркиза, все хорошо, все хорошо»
Смешно —
P.S. В качестве компенсационной меры, для повышения лояльности пользователей, Gearbest дополнительно снижает цены на проходящей распродаже в честь 5-летия интернет-магазина.
Запросил у них в поддержке полное удаление своего профиля.
Соврал, что на меня распространяется GDPR :)
Саппорт пописал вежливых фраз про то, что для них важна безопасность, и они понимают мою фрустрацию, но обещали удалить все в течение 48 часов.
Понятно, что ничего это радикально не изменит, но, возможно, какой-то сигнал до топов или миддлов дойдет, если подобные вещи будут массовыми.
Что еще можно сделать в такой ситуации?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.