Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers dringen 'onbeveiligde' klantdatabase Gearbest binnen

Onderzoekers van VPNMentor wisten naar eigen zeggen verschillende delen van de database van de Chinese webwinkel Gearbest binnen te dringen en troffen daar gegevens over bestellingen, betalingen en klanten aan.

Het team van VPNMentor, geleid door de Israëlische beveiligingsonderzoeker Noam Rotem, kon na de inbraak bij persoonsgegevens van bestellingen, betalingen en klantdata waaronder paspoortinformatie en accountwachtwoorden. In totaal ging het om meer dan 1,5 miljoen database entries
die het team deze maand wist te ontdekken. Volgens de onderzoekers was de Elasticsearch-database niet beschermd en waren veel gegevens zoals wachtwoorden niet versleuteld.

Als voorbeeld van hoe kwalijk het is om als webwinkel een database bloot te geven meldt VPNMentor dat het persoonsgegevens van kopers van seksspeeltjes kon inzien, die in sommige landen in grote problemen kunnen komen als dat bij autoriteiten bekend wordt.

De onderzoekers kregen ook url-toegang tot het Kafka-databeheersysteem van Gearbest en moederbedrijf Globalegrow. Dit zou kwaadwillenden de gelegenheid geven hele delen van servers uit te schakelen. De onderzoekers hadden Gearbest enkele dagen de gelegenheid gegeven te reageren maar kregen nog geen reactie.

Door Olaf van Miltenburg

Nieuwscoördinator

14-03-2019 • 21:34

101 Linkedin Google+

Submitter: MartyDog_NL

Reacties (101)

Wijzig sortering
Oke, dit is best scary. Ging even op onderzoek uit en nu zelf een onbeveiligde KAFKA-server gevonden van Alibaba.

https://imgur.com/6sfTukJ

Gearbest lijkt dus niet de enige te zijn. Ik kan je vertellen: het is kinderlijk eenvoudig om er achter te komen. Je hebt alleen wat basiskennis nodig. Lijkt er ook op dat de database niet versleuteld is: https://imgur.com/xknspqm.

10 minuten verder en ik vind er alleen maar meer; niet alleen maar databaseservers van Alibaba of AliExpress, maar ook van andere partijen die KAFKA-servers draaien. Dat hele KAFKA lijkt by default wel zo lek als een zeef. Sommigen hebben wel een wachtwoord ter authenticatie, maar ook dat lijkt wel erg simpel in elkaar gezet zonder 2FA of wat dan ook.

Tot nu toe niet interessanters kunnen vinden, maar daarvoor zou je dieper moeten graven.

[Reactie gewijzigd door AnonymousWP op 14 maart 2019 22:41]

Kafka is een stream-processing platform. Niet een database.

En 2FA in de context van kafka is totaal onzinnig. Kafka is in de eerste plaats een M2M toepassing en daar heeft 2FA geen nut.
Uuuh nee. Kafka is geen database management software.
Apache Kafka is een stream processing platform (let op geen stream in de zin van YouTube of zo).
https://en.m.wikipedia.org/wiki/Apache_Kafka
Dit wordt veelal gebruikt bij iot of datalakes. Het wordt ook weleens gebruikt om een elasticsearch cluster te voorzien van data. Dit wordt dan weer gebruikt om zaken te cachen voor webapplicaties.
Ik zie vanuit Gearbest nog geen enkele communicatie hierover. Een zeer kwalijke zaak wanneer dit klopt.
We repeatedly contacted both Gearbest and Globalegrow to inform them of this breach, and to let them when we would be publishing this article. They had several days’ notice. Unfortunately, our repeated attempts to ask these companies to step up and protect their users have been unsuccessful. At the time of publication, we were yet to receive a response.

[Reactie gewijzigd door Bor op 14 maart 2019 21:41]

Er is geen excuus. Geen enkel excuus voor dit gedrag.
Wat een onzin toch weer. Echt serieus waar, IT-ers moeten eens ophouden om te denken in een één heel klein laantje. Er is een wereld buiten de IT, echt. En die wereld snapt niets van IT, echt.

We weten niet hoe ze contact hebben opgenomen: een mailtje naar de helpdesk? Naar iemand die waarschijnlijk maar amper Engels kent en de mail simpelweg heeft afgedaan als spam/phising?

Voor een groot bedrijf als Gearbest is het wel een super slechte zaak dat er geen centraal meldpunt is voor dit soort issues. En dat er simpelweg databases op deze manier open staan naar het internet zegt wel dat je bijvoorbeeld geen pen tests laat doen: dat kun je ze zeker kwalijk nemen.

Maar zonder onderbouwing van hoe de communicatie is verlopen en een tijdslijn daarin reken ik het VPNMentor nog steeds aan dat ze niet wat meer tijd hebben genomen voor de disclosure. Zij weten ook hoe dit soort dingen werken bij veel bedrijven. Op deze manier zetten ze het lek in een spotlight, terwijl ze niet eens weten of hun "communicatie" de juiste personen wel heeft bereikt.

Zeggen dat er geen enkel excuus is om niet te reageren is gewoon onzin. Als ik de voicemail van mijn dokter inspreek en zeg dat ik een hartaanval heb dan heb ik ook "gecommuniceerd". Maar om hem dan vervolgens kwalijk te nemen dat er niet binnen 5 minuten een ambulance staat is misschien niet helemaal netjes.

Laten we nou eens proberen om de problemen op te lossen in plaats van alleen maar "BOE BOE" te roepen als er weer een of ander security bedrijf de media probeert te halen. Ik had me er nog beter in kunnen vinden als ze een username/pass en encryptie op de DB hadden gezet na enkele dagen geen reactie van GB: dan staat je data als klant in elk geval veiliger. En GB heeft dan alle reden om contact op te nemen om hun bedrijfsvoering te hervatten. Als je dan van harde actie houdt dan is dat wat mij betreft rechtvaardiger dan dit.
[...]
Wat een onzin toch weer. Echt serieus waar, IT-ers moeten eens ophouden om te denken in een één heel klein laantje. Er is een wereld buiten de IT, echt. En die wereld snapt niets van IT, echt.
En juist daarom moeten we als IT-ers de wereld buiten de IT beschermen tegen dit soort ongeloofelijk stomme fouten.
[...]Voor een groot bedrijf als Gearbest is het wel een super slechte zaak dat er geen centraal meldpunt is voor dit soort issues. En dat er simpelweg databases op deze manier open staan naar het internet zegt wel dat je bijvoorbeeld geen pen tests laat doen: dat kun je ze zeker kwalijk nemen.
GearBest is een internetbedrijf, IT is hun core business. Hoe kun je dan niemand hebben rondlopen die snapt wat een open database betekend als zogezegd de CISO op vakantie is?
[...]Zeggen dat er geen enkel excuus is om niet te reageren is gewoon onzin. Als ik de voicemail van mijn dokter inspreek en zeg dat ik een hartaanval heb dan heb ik ook "gecommuniceerd". Maar om hem dan vervolgens kwalijk te nemen dat er niet binnen 5 minuten een ambulance staat is misschien niet helemaal netjes.
5 minuten is niet gelijk aan een paar dagen. Bij het AP moet je ook melden binnen 4 (dacht ik) dagen na ontdekken van het lek. Dat betekend: random onderzoeker mailt naar jou op maandag dat je server een SQL lek bevat, dan start de teller. Ongeacht of jouw CISO op vakantie is of niet moet jij dan uiterlijk donderdag een notificatie naar het AP gedaan hebben waarin jij wilt aantonen dat:
Je het lek zsm kan dichten/gedicht hebt.
Je een onderzoek hebt gestart om te bepalen of het lek misbruikt is.
Zo ja, welke gegevens zijn benaderd en welke klanten benadeeld zijn.

Als jij een van deze onderdelen mist vergroot je ontzettend de kans dat je klanten moet inlichten wat elk bedrijf wilt voorkomen. Deze onderzoek geeft aan nog niet eens één reactie te hebben ontvangen met: Bedankt voor het melden, wij pakken dit op en gaan onderzoeken hoe we dit zo snel mogelijk dicht kunnen zetten.

Staat een beetje in schraal contrast hé? Een volledig onderzoek of in ieder geval een ACK sturen binnen een paar dagen.
[...]Laten we nou eens proberen om de problemen op te lossen in plaats van alleen maar "BOE BOE" te roepen als er weer een of ander security bedrijf de media probeert te halen. Ik had me er nog beter in kunnen vinden als ze een username/pass en encryptie op de DB hadden gezet na enkele dagen geen reactie van GB: dan staat je data als klant in elk geval veiliger. En GB heeft dan alle reden om contact op te nemen om hun bedrijfsvoering te hervatten. Als je dan van harde actie houdt dan is dat wat mij betreft rechtvaardiger dan dit.
Het toevoegen van een username/password is strafbaar. Dan kan je opgepakt worden voor computervredebreuk. Dat risico wil je niet lopen als beveiligingsonderzoeker want dan krijg je nergens meer een baan. + de mogelijkheid tot verhalen van de schade indien GearBest een paar uur/dagen offline gaat.
Niet te begrijpen dat dit een +3 krijgt, het is gewoon feitelijk onjuist.

https://ec.europa.eu/info...a-protection-law-apply_en
The law applies to:
  • a company or entity which processes personal data as part of the activities of one of its branches established in the EU, regardless of where the data is processed; or
  • a company established outside the EU offering goods/services (paid or for free) or monitoring the behaviour of individuals in the EU.
https://eugdpr.org/the-regulation/gdpr-faqs/
Who does the GDPR affect?
The GDPR not only applies to organisations located within the EU but also applies to organisations located outside of the EU if they offer goods or services to, or monitor the behaviour of, EU data subjects. It applies to all companies processing and holding the personal data of data subjects residing in the European Union, regardless of the company’s location.
Het is niet voor niets dat in de tijd voorafgaande aan de definitieve bekrachtiging van de GDPR, veel bedrijven van buiten de EU ineens wakker schrokken en zich realiseerden wat de impact op hen zou zijn, en sommigen daarna besloten om dan maar helemaal geen zaken meer met EU onderdanen te doen:
US small businesses drop EU customers over new data rule

Verder is het geen kwestie van "wetten mogen opdringen" - je hoeft je helemaal niet aan de GDPR te houden. Maar de keerzijde is dat je dan ook geen zaken kan doen met EU onderdanen, of hun persoonsgegevens mag verwerken.

Overigens is het de Patriot Act, niet Patrion Act.

[Reactie gewijzigd door Florimon op 15 maart 2019 09:09]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True