Onderzoekers dringen 'onbeveiligde' klantdatabase Gearbest binnen

Onderzoekers van VPNMentor wisten naar eigen zeggen verschillende delen van de database van de Chinese webwinkel Gearbest binnen te dringen en troffen daar gegevens over bestellingen, betalingen en klanten aan.

Het team van VPNMentor, geleid door de Israëlische beveiligingsonderzoeker Noam Rotem, kon na de inbraak bij persoonsgegevens van bestellingen, betalingen en klantdata waaronder paspoortinformatie en accountwachtwoorden. In totaal ging het om meer dan 1,5 miljoen database entries
die het team deze maand wist te ontdekken. Volgens de onderzoekers was de Elasticsearch-database niet beschermd en waren veel gegevens zoals wachtwoorden niet versleuteld.

Als voorbeeld van hoe kwalijk het is om als webwinkel een database bloot te geven meldt VPNMentor dat het persoonsgegevens van kopers van seksspeeltjes kon inzien, die in sommige landen in grote problemen kunnen komen als dat bij autoriteiten bekend wordt.

De onderzoekers kregen ook url-toegang tot het Kafka-databeheersysteem van Gearbest en moederbedrijf Globalegrow. Dit zou kwaadwillenden de gelegenheid geven hele delen van servers uit te schakelen. De onderzoekers hadden Gearbest enkele dagen de gelegenheid gegeven te reageren maar kregen nog geen reactie.

Gearbest Kafka

Reacties (101)

Anonymoussaurus 14 maart 2019 21:53

Oke, dit is best scary. Ging even op onderzoek uit en nu zelf een onbeveiligde KAFKA-server gevonden van Alibaba.

https://imgur.com/6sfTukJ

Gearbest lijkt dus niet de enige te zijn. Ik kan je vertellen: het is kinderlijk eenvoudig om er achter te komen. Je hebt alleen wat basiskennis nodig. Lijkt er ook op dat de database niet versleuteld is: https://imgur.com/xknspqm.

10 minuten verder en ik vind er alleen maar meer; niet alleen maar databaseservers van Alibaba of AliExpress, maar ook van andere partijen die KAFKA-servers draaien. Dat hele KAFKA lijkt by default wel zo lek als een zeef. Sommigen hebben wel een wachtwoord ter authenticatie, maar ook dat lijkt wel erg simpel in elkaar gezet zonder 2FA of wat dan ook.

Tot nu toe niet interessanters kunnen vinden, maar daarvoor zou je dieper moeten graven.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 18:03]

morphje @Anonymoussaurus • 15 maart 2019 09:38

Kafka is een stream-processing platform. Niet een database.

En 2FA in de context van kafka is totaal onzinnig. Kafka is in de eerste plaats een M2M toepassing en daar heeft 2FA geen nut.

grote_oever @Anonymoussaurus • 14 maart 2019 23:28

Heb je misschien iets meer uitleg wat je doet en wat KAFKA is? Dit zegt mijn persoonlijk niks. Wat zie je en wat kun je checken? Verder op wordt gepraat dat er iets te verwijderen valt, maar het lijkt me toch raar dat een database verwijdert kan worden door externe?

Anonymoussaurus @grote_oever • 14 maart 2019 23:37

KAFKA is databasemanagementsoftware. Zojuist is het nog erger geworden maar ben nu gestopt. Ik kon superuser zijn op een gigantisch grote server waarbij ik zo'n beetje letterlijk alles kon inzien. Maar mee gestopt want heb geen zin in problemen en gezeik...

Meekoh @Anonymoussaurus • 15 maart 2019 07:35

Uuuh nee. Kafka is geen database management software.
Apache Kafka is een stream processing platform (let op geen stream in de zin van YouTube of zo).
https://en.m.wikipedia.org/wiki/Apache_Kafka
Dit wordt veelal gebruikt bij iot of datalakes. Het wordt ook weleens gebruikt om een elasticsearch cluster te voorzien van data. Dit wordt dan weer gebruikt om zaken te cachen voor webapplicaties.

NaliXL @Anonymoussaurus • 15 maart 2019 12:08

Is dit doorgegeven aan de mensen van have i been pwned? Lijkt me inmiddels wel terecht, want waarschijnlijk weet inmiddels half database-technisch onderlegd nederland hoe ze erbij kunnen komen...

Edit: ik bedoel dus niet dat jij zelf die database leeg gaat plukken, maar dat je de gegevens over het lek doorspeelt naar de juiste deskundigen. Een goed kanaal daarvoor lijkt mij have i been pwned.

[Reactie gewijzigd door NaliXL op 22 juli 2024 18:03]

Anonymoussaurus @NaliXL • 15 maart 2019 12:18

Als ik data daar af ga halen ben ik sowieso fout bezig. Niet echt slim om te doen in mijn opinie.

Verwijderd @Anonymoussaurus • 17 maart 2019 20:08

Kom aan AWP... negeer het feit dat dit geen database manager is en laat zien dat je letterlijk alles kan zien op een gigantisch grote server. Nu laat je ons hangen met het idee dat je niet de gehele waarheid verteld!

smiba @Anonymoussaurus • 14 maart 2019 22:17

Ik heb ook de server gevonden waar je het over hebt, maar onthoud dat als de "Organization" listed is als "Hangzhou Alibaba Advertising Co.,Ltd." het ook niet direct betekend dat direct iets volwaardigs van alibaba gehacked is...

Anonymoussaurus @smiba • 14 maart 2019 22:18

Het is er niet 1, maar wel 3-4. Ja, het is onderdeel van Alibaba, wat niet per direct betekent dat het van AliExpress is. Feit is dat ik een heel cluster kan verwijderen, aanpassen of zelfs clusters kan toevoegen waarbij ik kwaadaardige data zou kunnen linken.

smiba @Anonymoussaurus • 14 maart 2019 22:24

Mogelijk zijn het zelfs gewoon test servers of vergeten machines, er staat nogmaals zover als ik 1,2,3 zie niets extreem kritieks op. Opzich niet heel wenselijk maar ook niet een directe ramp./

Ik vind het gewoon niet goed van je dat je direct begint te schreeuwen van "wow shit zelfs alibaba is vet insecure" en dat het dan gaat over een absoluut waardeloze server.

Dit is als schreeuwen dat KPN gehacked is omdat er een lege vergeten FTP server is met RW access.

[Reactie gewijzigd door smiba op 22 juli 2024 18:03]

Anonymoussaurus @smiba • 14 maart 2019 22:32

Ik weet niet welke servers jij ziet, maar ik kon nog verder doorklikken en referenties naar andere delen vinden. Ik zei alleen dat ik het best eng vond dat dit zo allemaal zonder wachtwoord was beveiligd en dat ik andere clusters kan koppelen. Test of niet, maakt niet uit. Trouwens: het lijkt er nu op dat de verbindingen geweigerd worden, dus zou het geen testserver zijn (lijkt er eerder op dat ze nu expres de server down gehaald hebben).

Yucon @smiba • 15 maart 2019 13:13

Ongeacht of het wel of geen belangrijke server is getuigd het niet van een sterk security beleid als servers zomaar 'vergeten' kunnen worden.

Arcastin @Anonymoussaurus • 15 maart 2019 11:25

Wat is het gevolg als je een cluster verwijdert (of aanpast zodat naamgeving wellicht niet meer overeenkomt)?

Anonymoussaurus @Arcastin • 15 maart 2019 11:31

Heb ik niet geprobeerd en ga ik ook niet doen omdat dat sowieso illegaal is. Ik heb wel een keer op disable geklikt bij een aantal, maar toen wist ik dat je nog moest bevestigen (anders had ik het niet gedaan als het meteen van kracht zou gaan). Toen moest ik bij sommigen een wachtwoord invoeren.

Arcastin @Anonymoussaurus • 15 maart 2019 12:50

Snap ik, maar theoretisch gezien?

Anonymoussaurus @Arcastin • 15 maart 2019 13:06

Dan wordt er waarschijnlijk geen data meer toegevoegd aan de databases en worden dus databases en clusters ook niet meer gesynchroniseerd.

Killah_Priest @Anonymoussaurus • 15 maart 2019 08:04

Ik kom op Shodan ook regelmatig verkeerd geconfigureerde Elastic servers tegen. Laatst nog van een internationale oppascentrale inclusief geboortedata en gps coördinaten van kinderen.

IoT servers die open en bloot staan waardoor je alle domotica (inclusief garagedeuren en verwarming) van een woning kunt bedienen etc.

Veel mensen en bedrijven zijn gewoon extreem laks in het beveiliging van hun zaken (en in deze gevallen gaat het ook echt om de basis die al ontbreekt qua beveiliging)

WillySis @Killah_Priest • 15 maart 2019 12:40

Bij de gebruikers van IoT zit vaak niet zo heel veel kennis van beveiliging. De leveranciers zullen veel meer hun verantwoordelijkheid moeten nemen. Als die ervoor zorgen dat je met een standaard gebruikersnaam wachtwoord en wachtwoord bijna niets kunt, wordt iedereen minimaal gedwongen om een eigen gebruikersnaam en wachtwoord te kiezen. Aan de fabrikant natuurlijk ook de taak om alles netjes en degelijk te beveiligen.

Verwijderd @Anonymoussaurus • 15 maart 2019 20:21

Datalek van GearBest was een fout. Hierbij een officiele reactie van GearBest.
https://imgur.com/a/LKIfvHF

Bron: https://www.facebook.com/gearbest/

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

14 maart 2019 21:40

Ik zie vanuit Gearbest nog geen enkele communicatie hierover. Een zeer kwalijke zaak wanneer dit klopt.

We repeatedly contacted both Gearbest and Globalegrow to inform them of this breach, and to let them when we would be publishing this article. They had several days’ notice. Unfortunately, our repeated attempts to ask these companies to step up and protect their users have been unsuccessful. At the time of publication, we were yet to receive a response.

[Reactie gewijzigd door Bor op 22 juli 2024 18:03]

Verwijderd @Bor • 14 maart 2019 21:54

Het kan laksheid zijn (en dat denk ik stiekem zelf ook), maar enkele dagen reactie tijd is wel erg kort voor een bedrijf. Een simpelheid als de chief security officer die op vakantie is kan er al voor zorgen dat ze niet op tijd reageren omdat er niemand is die genoeg op de hoogte is om een inhoudelijke reactie te geven. En nee, niet elk bedrijf heeft een compleet security team rondlopen.

Google geeft normaliter 90 dagen tijd in verband met vulnerabilities, dat lijkt me hier ook op zijn plaats. (Ook al is het dan een slechte config en geen bug.)

Door binnen enkele dagen te publiceren geef je ze niet voldoende kans om te reageren en het te fixen. Daarmee breng je de gebruikers extra in gevaar, aangezien elk zichzelf respecterende scriptkiddie nu zal proberen om ook even een elastic search te doen...

Ofwel: met dit soort "onderzoeken" komt ook een verantwoordelijkheid. Zo als ik het nu lees wil VPNMentor gewoon zo snel mogelijk publiciteit voor zichzelf, en dat krijgen ze natuurlijk veel minder met een probleem dat inmiddels verholpen is...

latka @Verwijderd • 14 maart 2019 23:08

Er is een verschil tussen vulnerabillity en je data op straat gooien. De sec officer op vakantie en je bedrijf ligt stil. Het is geen ZZP'er. Als het niet overgedragen is dan is de CEO gewoon de volgende.
Er is geen enkel excuus om die server niet binnen 30 seconden van het internet te halen en op onderzoek te gaan. Ook al mis je omzet. Er is geen excuus. Geen enkel excuus voor dit gedrag.

Verwijderd @latka • 15 maart 2019 07:22

Er is geen excuus. Geen enkel excuus voor dit gedrag.

Wat een onzin toch weer. Echt serieus waar, IT-ers moeten eens ophouden om te denken in een één heel klein laantje. Er is een wereld buiten de IT, echt. En die wereld snapt niets van IT, echt.

We weten niet hoe ze contact hebben opgenomen: een mailtje naar de helpdesk? Naar iemand die waarschijnlijk maar amper Engels kent en de mail simpelweg heeft afgedaan als spam/phising?

Voor een groot bedrijf als Gearbest is het wel een super slechte zaak dat er geen centraal meldpunt is voor dit soort issues. En dat er simpelweg databases op deze manier open staan naar het internet zegt wel dat je bijvoorbeeld geen pen tests laat doen: dat kun je ze zeker kwalijk nemen.

Maar zonder onderbouwing van hoe de communicatie is verlopen en een tijdslijn daarin reken ik het VPNMentor nog steeds aan dat ze niet wat meer tijd hebben genomen voor de disclosure. Zij weten ook hoe dit soort dingen werken bij veel bedrijven. Op deze manier zetten ze het lek in een spotlight, terwijl ze niet eens weten of hun "communicatie" de juiste personen wel heeft bereikt.

Zeggen dat er geen enkel excuus is om niet te reageren is gewoon onzin. Als ik de voicemail van mijn dokter inspreek en zeg dat ik een hartaanval heb dan heb ik ook "gecommuniceerd". Maar om hem dan vervolgens kwalijk te nemen dat er niet binnen 5 minuten een ambulance staat is misschien niet helemaal netjes.

Laten we nou eens proberen om de problemen op te lossen in plaats van alleen maar "BOE BOE" te roepen als er weer een of ander security bedrijf de media probeert te halen. Ik had me er nog beter in kunnen vinden als ze een username/pass en encryptie op de DB hadden gezet na enkele dagen geen reactie van GB: dan staat je data als klant in elk geval veiliger. En GB heeft dan alle reden om contact op te nemen om hun bedrijfsvoering te hervatten. Als je dan van harde actie houdt dan is dat wat mij betreft rechtvaardiger dan dit.

Tweekzor @Verwijderd • 15 maart 2019 11:13

[...]
Wat een onzin toch weer. Echt serieus waar, IT-ers moeten eens ophouden om te denken in een één heel klein laantje. Er is een wereld buiten de IT, echt. En die wereld snapt niets van IT, echt.

En juist daarom moeten we als IT-ers de wereld buiten de IT beschermen tegen dit soort ongeloofelijk stomme fouten.

[...]Voor een groot bedrijf als Gearbest is het wel een super slechte zaak dat er geen centraal meldpunt is voor dit soort issues. En dat er simpelweg databases op deze manier open staan naar het internet zegt wel dat je bijvoorbeeld geen pen tests laat doen: dat kun je ze zeker kwalijk nemen.

GearBest is een internetbedrijf, IT is hun core business. Hoe kun je dan niemand hebben rondlopen die snapt wat een open database betekend als zogezegd de CISO op vakantie is?

[...]Zeggen dat er geen enkel excuus is om niet te reageren is gewoon onzin. Als ik de voicemail van mijn dokter inspreek en zeg dat ik een hartaanval heb dan heb ik ook "gecommuniceerd". Maar om hem dan vervolgens kwalijk te nemen dat er niet binnen 5 minuten een ambulance staat is misschien niet helemaal netjes.

5 minuten is niet gelijk aan een paar dagen. Bij het AP moet je ook melden binnen 4 (dacht ik) dagen na ontdekken van het lek. Dat betekend: random onderzoeker mailt naar jou op maandag dat je server een SQL lek bevat, dan start de teller. Ongeacht of jouw CISO op vakantie is of niet moet jij dan uiterlijk donderdag een notificatie naar het AP gedaan hebben waarin jij wilt aantonen dat:
Je het lek zsm kan dichten/gedicht hebt.
Je een onderzoek hebt gestart om te bepalen of het lek misbruikt is.
Zo ja, welke gegevens zijn benaderd en welke klanten benadeeld zijn.

Als jij een van deze onderdelen mist vergroot je ontzettend de kans dat je klanten moet inlichten wat elk bedrijf wilt voorkomen. Deze onderzoek geeft aan nog niet eens één reactie te hebben ontvangen met: Bedankt voor het melden, wij pakken dit op en gaan onderzoeken hoe we dit zo snel mogelijk dicht kunnen zetten.

Staat een beetje in schraal contrast hé? Een volledig onderzoek of in ieder geval een ACK sturen binnen een paar dagen.

[...]Laten we nou eens proberen om de problemen op te lossen in plaats van alleen maar "BOE BOE" te roepen als er weer een of ander security bedrijf de media probeert te halen. Ik had me er nog beter in kunnen vinden als ze een username/pass en encryptie op de DB hadden gezet na enkele dagen geen reactie van GB: dan staat je data als klant in elk geval veiliger. En GB heeft dan alle reden om contact op te nemen om hun bedrijfsvoering te hervatten. Als je dan van harde actie houdt dan is dat wat mij betreft rechtvaardiger dan dit.

Het toevoegen van een username/password is strafbaar. Dan kan je opgepakt worden voor computervredebreuk. Dat risico wil je niet lopen als beveiligingsonderzoeker want dan krijg je nergens meer een baan. + de mogelijkheid tot verhalen van de schade indien GearBest een paar uur/dagen offline gaat.

latka @Verwijderd • 15 maart 2019 09:20

Dit is geen IT ding. Dus ik snap je reactie niet. Er is nogal een verschil tussen een potentieel lek (daar waar je 90 dagen krijgt om te repareren) en klantnamen op straat leggen zoals hier gebeurt. Als je dat onderscheid niet kunt maken dan hoop ik niet dat je in je werkende leven een rol van betekenis speelt in het klant data proces (bijvoorbeeld data protectionisme officier in de zin van gdpr).

latka @Verwijderd • 15 maart 2019 15:01

Na wat koffie en nalezen: dit is gewoon een geval GDPR: 72 uur om het te melden. Langer er over doen is geen optie. De melding is gedaan er is een aantal dagen gewacht en er is geen melding gedaan. Naming-and-shaming en een boete lijkt me volledig terecht. Dat een bedrijf groot en moeilijk is is geen reden om de wet niet na te leven.

latka @Verwijderd • 17 maart 2019 13:15

Zodra het in de pers komt kunnen ze het in 2 uur fixen. Dus ik snap je +2 niet op deze post: Gearbest is een rommel bedrijf (zoals je kunt zien in de reactie: de firewall stond uit en we deden maar wat). Dus er is geen enkel excuus vanuit Gearbest wat relevant is of standhoud.

armageddon_2k1 @Verwijderd • 14 maart 2019 22:05

Als chief security officer niet reageren binnen een paar dagen als er een massive breach is omdat je op vakantie zou zijn.... Het moet niet gekker worden.

Er werd ook niet gevraagd om een oplossing, zoals bij Google, maar in ieder geval om erkenning en het opzetten van een communicatielijn.

[Reactie gewijzigd door armageddon_2k1 op 22 juli 2024 18:03]

SuperDre @armageddon_2k1 • 14 maart 2019 22:37

Maar hoe weet iemand dat het om een massive breach gaat als degene die de kennis heeft op dat moment een paar dagen niet aanwezig is, en degene die het bericht gelezen heeft gewoonweg niet weet wat de impact is (of zelfs gewoon niet eens begrijpt wat er aan de hand is).
Het is allemaal niet zo simpel, en dan is het ook nog zo dat wij niet weten HOE ze contact hebben opgenomen.

armageddon_2k1 @SuperDre • 15 maart 2019 07:43

De securitybaas is niet de enige die verstand van zaken heeft mag ik hopen. Daarnaast heb je hier protocollen voor. Je doet alsof hier 2 mensen zijn die de it draaien maar het is een groot bedrijf. Als groot bedrijf moet je zorgen dat je een soort meldcentrum hebt voor veiligheidsissues en duidelijke protocollen.

Maar, eens, makkelijker praten van de zijlijn. Doet niets af van het feit dat het gebrek aan communicatie niet goed is.

SuperDre @armageddon_2k1 • 15 maart 2019 20:16

Moet moet moet, dat wil niet zeggen dat het ook zo gebeurd. En misschien IS het protocol dus wel, eerst goed uitzoeken wat er aan de hand is, dan kijken wat er gedaan moet worden, en dan pas degene een terugkoppeling geven. Dat kan rustig dagen duren, zeker omdat we niet weten waar ze de mail naar toe gestuurd hebben en in wat voor oceaan aan mail die terecht is gekomen, hell misschien is die hele mail wel gewoon in de spamfolder gekomen en dus nooit gelezen geweest.

n9iels

@Verwijderd • 14 maart 2019 22:07

Enkele dagen is inderdaad weinig tijd om zo iets aan te vliegen. Maar ze hadden wel kunnen reageren, en in overleg kunnen gaan wanneer het onderzoek gepubliceerd kon worden.

latka @n9iels • 15 maart 2019 09:26

De gdpr eist bijvoorbeeld binnen 72 uur een melding. Nu is de gdpr niet van toepassing maar je hebt 3 dagen om het te melden. Als je intern niet eens die drie dagen haalt hoe kun je dan ooit aan de wet voldoen?

Gizzy @latka • 15 maart 2019 11:19

Hoezo is GDPR niet van toepassing? Kan best zijn dat er ook Europese klanten in dat systeem staan. Het artikel verteld specifiek dat inzage kan worden verkregen in persoonsgegevens, dus ik snap niet hoe je tot die conclusie komt?

latka @Gizzy • 15 maart 2019 14:59

Je hebt helemaal gelijk (ervanuitgaande dat er europesche klanten bij zitten). GDPR is van toepassing dus is 3 dagen tot melding. In dit geval doen ze er langer over en zijn dus niet compliant met GDPR terwijl er wel klantinfo gelekt word (naam+adres is persoonsgegeven). Dus mensen die roepen dat het er te snel geopenbaard is: Gearbest overtreedt momenteel gewoon de wet.

jeroen7s @Verwijderd • 15 maart 2019 09:46

denk zeker dat het laksheid is
security komt hier zeker niet op de eerste plaats
is al een aantal jaren bekend dat Gearbest wachtwoorden in plaintext opslaat
http://plaintextoffenders...tcom-consumer-electronics

SuperDre @Bor • 14 maart 2019 22:34

Kan, maar ik vind het net zo kwalijk dat deze 'onderzoekers' het al na een paar dagen bekend maken. Probleem is natuurlijk bij zulke bedrijven dat je vaak te maken krijgt bij berichten met bots of een onwetende helpdesk, niet bij mensen die ook daadwerkelijk hier iets mee kunnen doen. Naast dat het bij dit soort bedrijven vaak ook lang duurt voor ze uberhaupt reageren (hun mailbox staat natuurlijk wel even een stukje voller dan die van een doorsnee persoon).
Ik vind dat ze minstens een paar weken hadden moeten wachten met het publiceren van deze informatie.

tonkie_67 @SuperDre • 15 maart 2019 00:32

Werk zelf op een support afdeling van een groot it hardware en services bedrijf en heb op zich niets te maken met onze websites of portals. Maar als een klant een melding zou doen over mogelijk security issue van die sites wordt er direct en snel gereageerd naar de melder en vervolgens intern geescaleerd naar zowel legal als security afdeling. Ook al zou mijn eigen manager op vakantie zijn of de SVP van security: actie wordt genomen en zeker aan de melder wordt een terugkoppeling gedaan dat het in onderzoek is.
En als de melding betrekking zou hebben op een product dat ik wel zelf ondersteun (in mijn geval netwerk switches) dan deels hetzelfde maar doe ik ook actief onderzoek of de melding reeel is of mogelijk een opzettelijke keuze (eg klant heeft zelf telnet aangezet en klaagt dat telnet poort open staat of specifiek anonymous rest-api toegestaan): dan is het geen product fout maar een configuratie optie.
En weet zeker dat al mn collegas van frontline/1st level bij een dergelijke melding ofwel naar hun manager stappen of melding direct escaleren, en als dan 2e lijn support tech er niet is zullen ze desnoods hem/haar/hun overslaan en mij vragen (3e lijns)... niemand zal een melding over mogelijke security breach negeren of paar dagen laten wachten.
En kan me niet voorstellen dat het bij andere grote bedrijven anders is.
Toevieging: en er zijn ook specifieke procedures hoe om te gaan met veiligheids communicatie; dat kan een (al dan niet valse) bommelding zijn, directe bedreiging maar ook dit soort meldingen. En minimaal 1x per jaar wordt je tijdens verplichte training hierop attent gemaakt. En je moet die training ook daadwerkelijk elk jaar doen. (Vooral over ethisch zaken doen en verbod op omkoping, disriminatie etc. Maar ook allerhande gevaren waar je je bewust van moet zijn. En het wordt ook actief bijgehouden of je de (herhaal) training op tijd doet... en managers checken dit actief omdat hun manager ook checkt of iedereen indirect onder hem/haar de cursus doet... er is maar 1 persoon die er mogelijk onderuit komt en dat is michael omdat hij als oprichter en (meerderheids) eigenaar/aandeelhouder geen baas boven hem heeft. Maar vermoed dat zelfs hijzelf de training elk jaar doet om t goede voorbeeld te geven

[Reactie gewijzigd door tonkie_67 op 22 juli 2024 14:27]

SuperDre @tonkie_67 • 15 maart 2019 20:11

Dat het bij jullie blijkbaar zo goed geregeld is, zegt niets over andere bedrijven. Genoeg bedrijven waar het op dat gebied echt gewoon 1 grote 'puinhoop' is. vergeet ook niet dat bij gearbest een groot deel van de support gewoon pure bots zijn.

Snake @Bor • 14 maart 2019 21:49

Zolang mensen ongecontrolleerde Chinese brol blijven kopen bij dit soort websites blijven ze bestaan en hebben ze geen enkele reden om veiliger te worden.

SuperDre @Snake • 14 maart 2019 22:35

Wat is dat nu voor een onzin opmerking, alsof kopen via bol.com of amazon beter is.

MonkeyJohn @SuperDre • 15 maart 2019 01:42

Ja maar China is de vijand tegenwoordig!

janbaarda @MonkeyJohn • 15 maart 2019 04:22

Ha ha, als je het zo bekijkt is het een hacker van een bevriend land, bekend vanwege haar democratisch gedrag, die op een vijandig systeem inbreekt.

Andersom was de wereld te klein geweest.

sapphire @Snake • 14 maart 2019 22:08

Ja inderdaad, meuk als Xiaomi, OnePlus en nog meer van die troep. Snap niet dat mensen dit kopen!

/sarcasm off, ze verkopen genoeg spullen van Chinese merken die wél goed bekend staan. Dat is ook één van de redenen dat ik er regelmatig spullen gekocht heb.

pven @Snake • 14 maart 2019 22:12

Gelukkig staan bedrijven zoals Cisco wel bekend om hun integriteit ...

Verwijderd @pven • 15 maart 2019 08:00

Juist ja, daarom koop ik bij Amazon, want die betalen hun medewerkers zo goed!

GVeen 14 maart 2019 21:49

Password managers zouden nu misschien maar moeten checken of gearbest gebruikers hun wachtwoord daarvoor vaker gebruiken....

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@GVeen • 14 maart 2019 21:54

Een online password manager bedoel je? Dat gaat niet zo makkelijk, daar voor is namelijk toegang tot de passwords nodig en die zijn in een password manager als het goed is niet voor de leverancier inzichtelijk.

n9iels

@Bor • 14 maart 2019 22:12

1password doet dit in zekere zin. Ze controleren of je email eventueel in een Have I Been Powed breach staat.

Dit zou echter ook kunnen met wachtwoorden d.m.v. hashing. In plaats van de plain text wachtwoorden, worden hashes vergeleken. Zo kan veilig worden gecontroleerd of je wachtwoord eventueel is uitgelekt.

softinc @n9iels • 14 maart 2019 23:10

Bij Dashlane krijg je zelfs een melding als je email accounts een nieuwe vermelding in haveibeenpwned hebben gekregen.

DaRk PoIsOn @softinc • 15 maart 2019 03:57

Klein beetje off-topic, ik had nog nooit van de site gehoord, dus ik type mijn emailadres in op haveibeen....
3 hits, en dan ook nog op 3 sites waar ik nooit een account heb gehad.
BTC-E: nog nooit iets met bitcoin gedaan
MySpace: ben van hyves naar facebook gegaan
Verifications.io: werkelijk waar geen idee wat dat is

gjmi @DaRk PoIsOn • 15 maart 2019 08:56

En toch stond je email-adres in die databases.
Kan het zijn dat iemand anders voor jou, jou email adres had? Ik heb dat lang geleden eens gehad, een simpel email adres, en ik kreeg opeens mail bedoeld voor iemand anders. Die had het adres een tijd daarvoor opgezegd.

Maar je zult niet hetzelfde wachtwoord hebben, dat scheelt dan weer.

[Reactie gewijzigd door gjmi op 22 juli 2024 18:03]

DaRk PoIsOn @gjmi • 15 maart 2019 13:35

Nee, ik heb dit adres sinds ik via een vriend een invite kreeg voor een gmail-adres.
Hoe ik bij verifications.io terecht kwam weet ik nu dankzij @Hierodemus hieronder

Hierodemus @DaRk PoIsOn • 15 maart 2019 09:04

Artikel op T.net over Verifications.io. Was een bedrijf waar spammers/marketers kunnen checken of een emailadres in gebruik is en of dit wel of niet een honeypot is voor een spamblacklist.

DaRk PoIsOn @Hierodemus • 15 maart 2019 13:33

Ah, dankje. Ga ik zo eens doorlezen!

GVeen @Bor • 14 maart 2019 21:58

Volgens mij kan lastpass zien of je wachtwoorden hergebruikt (als je zo'n security check doet), maar weet niet precies hoe en wat. Het was gewoon een idee

Wildfire

@Bor • 14 maart 2019 22:18

Daar is geen toegang tot de passwords voor nodig. Als hashes hetzelfde zijn weet je dus al dat het hetzelfde wachtwoord is, zonder het wachtwoord zelf te weten.

bdbfz @Wildfire • 14 maart 2019 23:08

je hebt dus 1 van beide wachtwoorden cleartext nodig. Je kan het dan hashen met dezelfde hash als het tweede wachtwoord, en dan vergelijken. Als je van beide wachtwoorden hashes hebt, kan je enkel vergelijken wanneer het hashing algoritmes (en de eventuele salts) dezelfde zijn.

darknessblade @GVeen • 14 maart 2019 22:01

het is ook handig dat voor elke site waar je iets koopt wat uit het buitenland komt een uniek PW te nemen.

daarnaast is een credit-kaart/paypal koppelen ook stom, omdat mensen zo veel geld kunnen aftroggelen

weby @darknessblade • 15 maart 2019 07:51

Het is handig om voor elke site een uniek wachtwoord te nemen, ongeacht locatie en of je er iets koopt of niet. Bij elke database (met wachtwoorden) loop je het risico dat deze gegevens naar buiten komen. Als je dan het wachtwoord van die "betrouwbare Nederlandse webshop" ook voor bijvoorbeeld je Gmail account gebruikt hebt, waarop al je wachtwoord resets e-mails binnen komen, dan ben je evengoed in de aap gelogeerd.

Als je voor elke site een eigen, uniek en bij voorkeur ook random password gebruikt, dan is een gelekt wachtwoord relatief weinig waard en kan men er verder nergens anders iets mee.

En ja, dat betekent dus veel wachtwoorden. Gelukkig zijn er password managers zoals LastPass, 1Password en KeePass (en vele anderen) om je hiermee te helpen. Dan hoef je maar 1 sterk wachtwoord te onthouden.

darknessblade @weby • 15 maart 2019 11:26

ken het maar al te goed, was een tijd terug dat van epic de passwords zijn gelekt.
{mijn PW zat er tussen}
heb inmiddels al een veel sterker password {random string van 16 ipv van 8}
en ik krijg nu nog steeds een mislukte inlog poging van een onbekend IP adress {meestal na 3+ mislukte pogingen wordt er een mail gestuurd}

xoniq @GVeen • 14 maart 2019 22:06

1password gebruikt de API van haveibeenpwned, daarmee doen ze dit intussen al, is alleen wachten tot haveibeenpwned het ww bestand heeft.

0xtw3 14 maart 2019 23:31

Hier kan ik me dus erg kwaad om maken.
Ik heb enige tijd geleden zeer herhaaldelijk contact gehad met de "support" van Gearbest om mijn emailadres up te daten die ik niet meer in gebruik heb, en zelfs na 15 mailwisselingen werd ik alsnog steeds afgepoeierd met oneliners zoals "you can't" en "we dont change email", zonder enige uitleg waarom dit niet zou kunnen en onwilligheid om ook maar enige vragen te beantwoorden of argumentatie te geven.

Volgens de GDPR moet er juist mogelijkheid zijn voor eenieder om zijn of haar persoonlijke informatie te kunnen updaten danwel verwijderen, beide werden niet gehonoreerd. Ik heb meermalig gevraagd mijn account te verwijderen indien het emailadres niet geupdate kon worden, maar daar kreeg ik precies hetzelfde antwoord: "we dont delete account".

Nu blijkt er een data breach te zijn die (voor mij) voorkomen had kunnen worden. Het is een email adres dat ik niet meer vaak gebruik, maar indien mijn aanvraag gehonoreerd werd, zou mij een hoop ergernis bespaard gebleven zijn.

Ik ben echt helemaal klaar met dit soort bedrijven, lekker aan de schandpaal wat mij betreft.

pauldaytona @0xtw3 • 14 maart 2019 23:48

Een Chinees bedrijf dat zich druk maakt over jou GDPR?

0xtw3 @pauldaytona • 14 maart 2019 23:52

Wat bedoel je precies? Ook al zit je bedrijf op de noordpool, als je de data van Europeanen verwerkt heb je je gewoon te houden aan de GDPR.

Verwijderd @0xtw3 • 15 maart 2019 07:34

Haha, laten we dit even uit de wereld helpen.
GDPR (AVG) is voor landen die onder die wetgeving vallen en er dus ook voor hebben getekend. Als in: de EU.

Als ik in China een servertje neerzet en ik verwerk jouw data daar dan heb ik 0,0 met de AVG te maken. Uiteraard moet ik dan geen banden hebben verder met Nederland (servertjes hier staan bijvoorbeeld).

Het enige land in de wereld dat denkt dat ze hun wetten mogen opdringen aan andere landen is Amerika. Die hebben met hun Patrion Act wel toegang tot alle systemen/data zodra er ook maar een Amerikaans staatsburger bij in de buurt komt.

Florimon @Verwijderd • 15 maart 2019 09:00

Niet te begrijpen dat dit een +3 krijgt, het is gewoon feitelijk onjuist.

https://ec.europa.eu/info...a-protection-law-apply_en

The law applies to:
a company or entity which processes personal data as part of the activities of one of its branches established in the EU, regardless of where the data is processed; or
a company established outside the EU offering goods/services (paid or for free) or monitoring the behaviour of individuals in the EU.

https://eugdpr.org/the-regulation/gdpr-faqs/

Who does the GDPR affect?
The GDPR not only applies to organisations located within the EU but also applies to organisations located outside of the EU if they offer goods or services to, or monitor the behaviour of, EU data subjects. It applies to all companies processing and holding the personal data of data subjects residing in the European Union, regardless of the company’s location.

Het is niet voor niets dat in de tijd voorafgaande aan de definitieve bekrachtiging van de GDPR, veel bedrijven van buiten de EU ineens wakker schrokken en zich realiseerden wat de impact op hen zou zijn, en sommigen daarna besloten om dan maar helemaal geen zaken meer met EU onderdanen te doen:
US small businesses drop EU customers over new data rule

Verder is het geen kwestie van "wetten mogen opdringen" - je hoeft je helemaal niet aan de GDPR te houden. Maar de keerzijde is dat je dan ook geen zaken kan doen met EU onderdanen, of hun persoonsgegevens mag verwerken.

Overigens is het de Patriot Act, niet Patrion Act.

[Reactie gewijzigd door Florimon op 22 juli 2024 18:03]

dormamu @Verwijderd • 15 maart 2019 09:00

Laat ik dan jou ook maar meteen uit je droom helpen want wat je zegt is pertinent onjuist.

Artikel 3 uit de AVG (GDPR) "Territoriaal toepassingsgebied"
2. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:
a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of
b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.

Dus ook al draai je een Chinese webshop op een Chinese server, op het moment dat je in Nederland levert en je verwerkt persoonsgegevens dan heb je je te houden aan de AVG.

pven @0xtw3 • 15 maart 2019 07:38

https://www.volkskrant.nl...kende-bedrijven~b7e6d7c8/

Mooi artikel over precies datgene waar jij tegenaan loopt.

Mavamaarten @0xtw3 • 15 maart 2019 09:41

Inderdaad. Ik heb veel last gehad van newsletters die ik niet uitgezet kreeg. De website zei dat ik uitgeschreven was, maar toch kreeg ik ze elke 2 dagen. Support gemaild en die beweerden dat ze niets konden doen en inderdaad e-mail veranderen konden ze ook niet doen.

Bij dat soort dingen denk ik altijd, wat een rommeltje moet het daar backend-wise niet zijn? Ik schrik er in elk geval niet van

Tweakx 14 maart 2019 21:56

Zojuist even contact gezocht met de Gearbest support. Kreeg eerst een standaard antwoord over dat Gearbest goed beveiligd is door middel van McAfee en Paypal...

Na doorgezeurd te hebben kreeg ik het volgende antwoord: ''Rest assured that Gearbest will take all the actions needed to fix this matter.''

Lijkt dus nog steeds niet opgelost te zijn. Namen het via de support chat ook niet serieus. Jammer, volgende keer ergens anders bestellen.

Verwijderd @Tweakx • 14 maart 2019 22:01

Dus jij denkt serieus dat als je een random andere website pakt, daar een support chat begint over een beveiligings issue of een vulnerability dat ze weten waar je het over hebt

Sorry, maar dat is echt ernstig naïef. Dit soort dingen is echt iets voor de IT mensen, en die zitten normaliter niet op de customer support, hooguit een 1e lijns helpdesk voor een wachtwoord reset of iets dergelijks.

Bedrijven die dit serieus nemen hebben vaak wel een meldpunt voor dit soort dingen. En met reden: als het via een reguliere chat, mail, telefoontje binnenkomt gaat er vaak veel tijd verloren omdat de medewerker de impact er van niet juist kan inschatten.

Tweakx @Verwijderd • 14 maart 2019 22:08

Ik heb geen één technisch woordje laten vallen in de chat met Gearbest. Ik heb gevraagd of het probleem inmiddels was gedicht en hier kreeg ik pas na veel standaard berichten het bovenstaande antwoord op. En ja, ik verwacht dat de support van een gehackt bedrijf in ieder geval iets af weet van de huidige situatie. Daarbij hoeft het heus geen technisch antwoord te zijn, dat kan je inderdaad niet verwachten van een gemiddelde support medewerker.

theduke1989 @Tweakx • 14 maart 2019 22:24

Een bedrijf met 1 miljoen klanten denk je echt dat de support er iets van af kan weten. Het komt eerst bij andere teams terecht. Daarnaast van die miljoenen mensen denk je echt dat alle gaan navragen.

Als het om 100-200 klanten ging waarbij je misschien 10 medewerkers hebt ( klein ZZP bedrijf misschien ) dan ja kan je een snellere antwoord krijgen.

Verwijderd @Tweakx • 15 maart 2019 07:25

Op zich eens: ware het niet dat we niet weten of GearBest wel op de hoogte is. De onderzoekers doen namelijk totaal niet uit de doeken hóe zij contact op hebben genomen. En gezien ze binnen een paar dagen public gaan zie ik nog wel eens gebeuren dat dat gewoon via een mailtje naar support was ofzo (waarvan je weet dat 'ie gewoon in de spam box komt)...

svenslootweg @Verwijderd • 15 maart 2019 11:14

Dus jij denkt serieus dat als je een random andere website pakt, daar een support chat begint over een beveiligings issue of een vulnerability dat ze weten waar je het over hebt

Ik verwacht dan doorgeschakeld te worden naar iemand die wel snapt hoe het werkt. De klantenservice is het aanspreekpunt voor klanten; het is simpelweg hun verantwoordelijkheid om te zorgen dat je bericht bij de juiste partij aankomt, of ze nu zelf het antwoord erop weten of niet.

Dit soort afpoeierende reacties zijn gewoon niet acceptabel.

Brammos85 14 maart 2019 21:50

Geloof me dat die reactie nu wel gaat komen nu dit nieuws viral gaat. Er zal serieus damage control gedaan moeten worden. Als de Amerikanen en Europeanen wegblijven is die site klaar.

o0Runaljod0o @Brammos85 • 14 maart 2019 22:42

Mensen blijven toch wel kopen, de meeste mensen interesseert het niet.

Data breach, privacy scandal, het is 3/4 dagen hot topic en daarna gaat iedereen weer lekker Facebooken en aankopen doen op Gearbest etc.

d4v1d 14 maart 2019 21:59

Eind 2017 was het bij Gearbest ook al loos.. Al is het deze maal wat omvangrijker.

https://www.reddit.com/r/...ails_including_passwords/

Niekleair 14 maart 2019 22:01

Eens kijken of ze de moeite nemen om mijn verzoek om het account te verwijderen serieus nemen (zouden ze volgens hun privacy statement in ieder geval moeten doen).

JK 15 maart 2019 08:27

Ik denk dat ze het niet begrijpen. Ik ben affiliate van Gearbest en het verloop van bijv. die affiliate/marketing-afdeling is groot, wie weet misschien ook van IT/security. Dame die er nu zit en contact heeft met de NL affiliates begrijpt Engels slecht, interesseert zich niet in eerdere afspraken etc. In het verleden alle affiliates emailadressen in mails in To ipv BCC etc. Ik heb laatst mijn geld er weggesluisd en na dit nieuwsbericht zal ik het merendeel van de links verwijderen. Dit wilde ik al doen, maar dit nieuwsbericht is de druppel. Erg onprofessioneel bedrijf en dit datalek verbaast mij echt helemaal niets.

WVSint 14 maart 2019 22:07

Commentaar Gearbest Supportmedewerker:

No need to worry, Everything is good nothing was revealed nor hacked, rest assured it's our priority to keep your information safe.

Please rest assured that we are a genuine registered company that has been around for 8 years. We at Gearbest are certified secure by renowned E-commerce service providers such as McAfee and PayPal. You may check our certificates on the 'Contact Us' page here: http://www.gearbest.com/about/contact-us.html

Ook mn account laten verwijderen

[Reactie gewijzigd door WVSint op 22 juli 2024 18:03]

Avalaxy @WVSint • 14 maart 2019 22:13

Het is denk ik handig te vermelden dat dit de reactie is van een supportmedewerker en niet het officiële statement van het bedrijf?

WVSint @Avalaxy • 14 maart 2019 22:20

Gewijzigd. De SupportDesk zou het officiele statement moeten geven in deze situatie.

0xtw3 @WVSint • 14 maart 2019 23:41

Hoe heb je je account laten verwijderen? Bij mij wordt dat pertinent geweigerd.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (101)

Sorteer op:

Weergave: