Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers dringen 'onbeveiligde' klantdatabase Gearbest binnen

Onderzoekers van VPNMentor wisten naar eigen zeggen verschillende delen van de database van de Chinese webwinkel Gearbest binnen te dringen en troffen daar gegevens over bestellingen, betalingen en klanten aan.

Het team van VPNMentor, geleid door de Israëlische beveiligingsonderzoeker Noam Rotem, kon na de inbraak bij persoonsgegevens van bestellingen, betalingen en klantdata waaronder paspoortinformatie en accountwachtwoorden. In totaal ging het om meer dan 1,5 miljoen database entries
die het team deze maand wist te ontdekken. Volgens de onderzoekers was de Elasticsearch-database niet beschermd en waren veel gegevens zoals wachtwoorden niet versleuteld.

Als voorbeeld van hoe kwalijk het is om als webwinkel een database bloot te geven meldt VPNMentor dat het persoonsgegevens van kopers van seksspeeltjes kon inzien, die in sommige landen in grote problemen kunnen komen als dat bij autoriteiten bekend wordt.

De onderzoekers kregen ook url-toegang tot het Kafka-databeheersysteem van Gearbest en moederbedrijf Globalegrow. Dit zou kwaadwillenden de gelegenheid geven hele delen van servers uit te schakelen. De onderzoekers hadden Gearbest enkele dagen de gelegenheid gegeven te reageren maar kregen nog geen reactie.

Door Olaf van Miltenburg

Nieuwscoördinator

14-03-2019 • 21:34

101 Linkedin Google+

Submitter: MartyDog_NL

Reacties (101)

Wijzig sortering
Kom aan AWP... negeer het feit dat dit geen database manager is en laat zien dat je letterlijk alles kan zien op een gigantisch grote server. Nu laat je ons hangen met het idee dat je niet de gehele waarheid verteld!
Bij de gebruikers van IoT zit vaak niet zo heel veel kennis van beveiliging. De leveranciers zullen veel meer hun verantwoordelijkheid moeten nemen. Als die ervoor zorgen dat je met een standaard gebruikersnaam wachtwoord en wachtwoord bijna niets kunt, wordt iedereen minimaal gedwongen om een eigen gebruikersnaam en wachtwoord te kiezen. Aan de fabrikant natuurlijk ook de taak om alles netjes en degelijk te beveiligen.
Datalek van GearBest was een fout. Hierbij een officiele reactie van GearBest.
https://imgur.com/a/LKIfvHF

Bron: https://www.facebook.com/gearbest/
Na wat koffie en nalezen: dit is gewoon een geval GDPR: 72 uur om het te melden. Langer er over doen is geen optie. De melding is gedaan er is een aantal dagen gewacht en er is geen melding gedaan. Naming-and-shaming en een boete lijkt me volledig terecht. Dat een bedrijf groot en moeilijk is is geen reden om de wet niet na te leven.
Zodra het in de pers komt kunnen ze het in 2 uur fixen. Dus ik snap je +2 niet op deze post: Gearbest is een rommel bedrijf (zoals je kunt zien in de reactie: de firewall stond uit en we deden maar wat). Dus er is geen enkel excuus vanuit Gearbest wat relevant is of standhoud.
Hoezo is GDPR niet van toepassing? Kan best zijn dat er ook Europese klanten in dat systeem staan. Het artikel verteld specifiek dat inzage kan worden verkregen in persoonsgegevens, dus ik snap niet hoe je tot die conclusie komt?
Je hebt helemaal gelijk (ervanuitgaande dat er europesche klanten bij zitten). GDPR is van toepassing dus is 3 dagen tot melding. In dit geval doen ze er langer over en zijn dus niet compliant met GDPR terwijl er wel klantinfo gelekt word (naam+adres is persoonsgegeven). Dus mensen die roepen dat het er te snel geopenbaard is: Gearbest overtreedt momenteel gewoon de wet.
Dat het bij jullie blijkbaar zo goed geregeld is, zegt niets over andere bedrijven. Genoeg bedrijven waar het op dat gebied echt gewoon 1 grote 'puinhoop' is. vergeet ook niet dat bij gearbest een groot deel van de support gewoon pure bots zijn.
En toch stond je email-adres in die databases.
Kan het zijn dat iemand anders voor jou, jou email adres had? Ik heb dat lang geleden eens gehad, een simpel email adres, en ik kreeg opeens mail bedoeld voor iemand anders. Die had het adres een tijd daarvoor opgezegd.

Maar je zult niet hetzelfde wachtwoord hebben, dat scheelt dan weer.

[Reactie gewijzigd door gjmi op 15 maart 2019 08:57]

Nee, ik heb dit adres sinds ik via een vriend een invite kreeg voor een gmail-adres.
Hoe ik bij verifications.io terecht kwam weet ik nu dankzij @Hierodemus hieronder :)
Artikel op T.net over Verifications.io. Was een bedrijf waar spammers/marketers kunnen checken of een emailadres in gebruik is en of dit wel of niet een honeypot is voor een spamblacklist.
Ah, dankje. Ga ik zo eens doorlezen!
ken het maar al te goed, was een tijd terug dat van epic de passwords zijn gelekt.
{mijn PW zat er tussen}
heb inmiddels al een veel sterker password {random string van 16 ipv van 8}
en ik krijg nu nog steeds een mislukte inlog poging van een onbekend IP adress {meestal na 3+ mislukte pogingen wordt er een mail gestuurd}
Inderdaad. Ik heb veel last gehad van newsletters die ik niet uitgezet kreeg. De website zei dat ik uitgeschreven was, maar toch kreeg ik ze elke 2 dagen. Support gemaild en die beweerden dat ze niets konden doen en inderdaad e-mail veranderen konden ze ook niet doen.

Bij dat soort dingen denk ik altijd, wat een rommeltje moet het daar backend-wise niet zijn? Ik schrik er in elk geval niet van :|
Dus jij denkt serieus dat als je een random andere website pakt, daar een support chat begint over een beveiligings issue of een vulnerability dat ze weten waar je het over hebt :?
Ik verwacht dan doorgeschakeld te worden naar iemand die wel snapt hoe het werkt. De klantenservice is het aanspreekpunt voor klanten; het is simpelweg hun verantwoordelijkheid om te zorgen dat je bericht bij de juiste partij aankomt, of ze nu zelf het antwoord erop weten of niet.

Dit soort afpoeierende reacties zijn gewoon niet acceptabel.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True