Gearbest: lek in klantdatabase heeft 280.000 klanten getroffen

Gearbest heeft publiekelijk excuses gemaakt over het recent opgemerkte lek in een server waar klantengegevens op stonden opgeslagen. Daarbij gaf de Chinese webwinkel ook aan dat het lek inmiddels verholpen is, en dat er gegevens van zo'n 280.000 klanten zijn uitgelezen.

De Chinese webwinkel gaf uitleg in een statement dat onder andere op de Facebook-pagina van het bedrijf is geplaatst. Nadat onderzoekers van VPNMentor vrijdag stelden binnen te zijn gedrongen op een klantdatabase is er onmiddellijk onderzoek verricht en zou het lek al na twee uur zijn verholpen.

Volgens Gearbest zijn de beveiligingsonderzoekers binnengedrongen op een externe server waar tijdelijk klantengegevens worden opgeslagen voor efficiëntie. De gegevens op de desbetreffende server worden drie dagen na het opslaan weer verwijderd, waardoor er een relatief kleine hoeveelheid gegevens op staan. Toch zijn 280.000 klanten getroffen door het binnendringen op de server.

Klanten die tussen 1 maart en 15 maart een bestelling hebben geplaatst op Gearbest zijn mogelijk blootgesteld aan de beveiligingsonderzoekers. Klanten die met de hack te maken hebben gehad krijgen persoonlijk bericht, en daarnaast geeft de webwinkel, naast excuses, aan dat het maatregelen neemt om dergelijke beveiligingslekken in de toekomst te voorkomen.

De onderzoekers van VPNMentor stellen zelf dat zij ook naast toegang tot klantengegevens ook url-toegang kregen tot het Kafka-databeheersysteem van Gearbest en moederbedrijf Globalegrow. Dit zou kwaadwillenden de gelegenheid geven hele delen van servers uit te schakelen.

Gearbest Kafka

Reacties (48)

Verwijderd 17 maart 2019 14:19

Op 18 november 2018 had ik ze ook al op de hoogte gebracht van een lek. Ik zag namelijk andermans tickets in mijn account. Ik kon door andere accounts heen bladeren. Dit was het antwoord:

Thank you for your message.
Please clear the cache. Re-login to the browser or try another browser.
Please send us the screenshot of the issue, then we can check it for you.

Ja, ehhm, pardon? Het was/is jullie probleem, niet het mijne... Doe er wat aan zou ik zo zeggen. Ik vraag me af of een en ander met elkaar te maken had...

[Reactie gewijzigd door Verwijderd op 23 juli 2024 02:38]

oef! @Verwijderd • 18 maart 2019 10:39

Dat verzoek was gewoon een verkapte troubleshootvraag. Het is vrij normaal om bij afwijkend gedrag van een webapp om de browsercache leeg te gooien en dan opnieuw te testen. Ik snap dat het jouw probleem niet is maar voor de andere partij is het soms praktisch onmogelijk om een bug/situatie te reproduceren waardoor ze het probleem niet goed kunnen tackelen.

rkeet @oef! • 19 maart 2019 09:47

Dan zou het hier een corrupte server-cache moeten betreffen (#hoeDan), want als client-side je cache niet klopt, dan zou er server-side toch echt ergens een "access denied" error moeten verschijnen.

Het is vrij normaal om bij afwijkend gedrag van een web-app om de browsercache leeg te gooien en dan opnieuw te testen.

Dus betreffende bovenstaande quote: eens, als het een client-side issue zou betreffen. Hier wordt dus, server-side, data ingeladen van andere accounts. De enige, propere, response zou zijn geweest: "Holy shit, bedankt voor melden. Hele team is er NU mee bezig", of iets in die trend.

Anderzijds is de vraag voor extra informatie (screenshot, URI, mogelijk cookie file, etc) wel reëel. Die helpen het onderzoek.

dennis_rsb 17 maart 2019 10:46

Heeft het wachtwoord wijzigen nog zin? Want als ze ''alles'' buiten gemaakt hebben en het lek is nu verholpen, dan is het wel raadzaam om het ww te wijzigen lijkt mij?

d4v1d @dennis_rsb • 17 maart 2019 10:50

ALTIJD je wachtwoord wijzigen. Altijd.

Je weet niet precies wat er is buitgemaakt, Gearbest houdt misschien informatie achter de hand of weet zelf ook niet de volledige omvang. Op dit gebied moet je geen risico nemen en gewoon je wachtwoord wijzigen.. Dat het lek nu verholpen is wil niet zeggen dat je wachtwoord nu opeens niet meer op Pastebin of het darkweb kan circuleren.

The Zep Man

Beveiliging en antivirus
Hackers

@d4v1d • 17 maart 2019 11:03

Dat het lek nu verholpen is wil niet zeggen dat je wachtwoord nu opeens niet meer op Pastebin of het darkweb kan circuleren.

Wat niet interessant is als je een wachtwoordmanager gebruikt met unieke, willekeurige wachtwoorden voor elke site.

Je moet je wachtwoord wijzigen omdat iemand anders met jouw wachtwoord op de gehackte dienst in kan loggen, met alle gevolgen van dien.

darknessblade @The Zep Man • 17 maart 2019 12:20

vooral als je een creditcard hebt, dan kunnen ze mogelijk deze gegevens achterhalen en alsnog dingen kopen.

voor ons nederlanders is er minder data kwijt, mbt betalingen, gezien vele het doen met ideal or paypall

Manke @d4v1d • 17 maart 2019 11:46

Heb al meerdere mailtjes gekregen met een inlogmelding en zelfs een aankoop met mijn account bij greenmangaming, omdat m'n ww op pastebin staat

Was lui met ww.

wildhagen

Hackers
Beveiliging en antivirus

@dennis_rsb • 17 maart 2019 10:48

Na een hack is het altijd raadzaam om je wachtwoord preventief te wijzigen. Al is het maar om het zekere voor het onzekere te nemen.

theduke1989 @wildhagen • 17 maart 2019 11:09

is afhankelijk van wat voor wachtwoorden het zijn.

Ik heb altijd shady wachtwoorden, voor dit soort websites. Dus ik moet altijd opnieuw een wachtwoord instellen en dan pak ik gewoon de eerst snelle wachtwoord om in te loggen.

Voor AliE en Amazon moet ik inderdaad toch wel even aanpassen om niet overal hetzelfde te hebben,.

Verwijderd @theduke1989 • 17 maart 2019 11:19

gebruik een password manager
genereer een uniek, complex wachtwoord per toepassing
genereer een nieuw wachtwoord bij meldingen als deze

avdongen

@Verwijderd • 17 maart 2019 13:56

Plus: registreer een eigen domein en gebruik per contact een ander mailadres.

kahobro @avdongen • 18 maart 2019 09:19

Dit is niet te doen. Als je voor elk restaurantbezoek en elke webwinkel waar je ooit gebruik van maakt een aparte mailbox moet bijhouden.
Ik gebruik wel een mailadres voor de meer vertrouwde contacten (bank, digid, notaris etc) een mailadres voor bekende (bol.com, coolblue) en een mailadres voor vagere contacten en een voor persoonlijke mail.

Als je voor elk contact een ander adres aan moet makenheb je een uur per week nodig om alles weer op te schonen aan te maken en weer weg te halen.
Daar gaat geen mens aan beginnen.

CivLord

@kahobro • 18 maart 2019 10:39

Je hoeft geen aparte mailboxen aan te maken. Je kunt alle mail op domeinniveau accepteren in één mailbox.

Wanneer ik Civlord.nl zou registreren zou ik bij Bol.com Bol@Civlord.nl als emailadres op kunnen geven en bij tweakers.net Tweakers@Civlord.nl.
Ik kan de server zo instellen dat alle email naar Civlord@Civlord.nl naar mijn privé mailbox gaat, terwijl de rest van de email naar het Civlord.nl domein in een andere mailbox gedumpt wordt. Door simpel te filteren of te sorteren op verzendadres kun je elke gewenste verzender er zo uithalen. (En zien wie je emailadres gedeeld heeft.)

Muna34 @CivLord • 18 maart 2019 13:21

Of je maakt simpelweg gewoon gebruik van de standaard. Al jaar en dag kun je een appendix aan je gebruikersnaam van je email toevoegen met een plus als seperator speciaal voor deze reden. Een paar voorbeelden:

bob+bol@example.com
bob+tweakers@example.com
bob+google@example.com

Mocht je een nieuwsbrief van het bedrijf binnenkrijgen dan zie je het adres wat jij hebt ingevuld. Mocht er dan iets binnenkomen van een "spam" partij, dan weet je wie jouw gegevens heeft doorgegeven of verkocht aan een dergelijke partij. Omdat de "spam" email bijv bob+bol@example.com als geaddresseerde zal bevatten.

Deze truc geeft je een hoop inzicht en niet veel mensen weten dat je dit kan doen.

Niet iedereen honoreert deze standaard maar in 80% van de gevallen werkt dit wel gewoon.

Voor de mensen die geintreseerd zijn in de RFC, een linkje voor jullie

Relevante stuk staat op "Page 5".

[Reactie gewijzigd door Muna34 op 23 juli 2024 02:38]

AmigaWolf @avdongen • 17 maart 2019 16:17

Heb me wachtwoord ook voor de zekerheid verandert op Gearbest, ook al heb ik geen email gehad er over.

Ja een password manager hebben is erg handig en veiliger, ik maak nu de laatste jaren ingewikkelde wachtwoorden, en waar geen namen of echte woorden in voor komen, ik tik maar wat aan op de toetsenbord, en dat woord me wachtwoord voor die website.

[Reactie gewijzigd door AmigaWolf op 23 juli 2024 02:38]

Verwijderd @theduke1989 • 17 maart 2019 16:04

Nee, niet afhankelijk. Iedereen zou gewoon zijn wachtwoord moeten aanpassen. Als je ooit een transactie hebt gedaan, kan een gekraakte login tot meer leiden.

2green @dennis_rsb • 17 maart 2019 14:43

Wachtwoord wijzigen, neem aan dat je dat wachtwoord niet op andere sites gebruik die erg bekend zijn, zo ja, dan daar ook wijzigen.

dennis_rsb @2green • 17 maart 2019 14:50

Nee gebruik overal unieke wachtwoorden dmv Keepass.

2green @dennis_rsb • 17 maart 2019 19:48

Top, het is namelijk erg gebruikelijk om met gewonnen wachtwoorden even langs te gaan bij de grote bekenden, google, amazon, microsoft, facebook, ebay en wat andere grote sites. Aangeziens het geautomatiseerd gaat, gaat dit best diep. Dacht noem het even voor de zekerheid.

dennis_rsb @2green • 17 maart 2019 20:30

ja ik weet het. daarom zeg ik ook altijd tegen mensen die te lui zijn om aparte wachtwoorden te maken. Doe op zijn minst belangrijke zaken aprte wachtwoorden. En je mail ook. Als ze in je mail komen kunnen ze overal bij.

Maar met deze toenemende lekken en hacken zou iedereen iets als lastpass of keepass moeten gebruiken. Zeker omdat men tegenwoordig van steeds meer sites een account heeft.

Verwijderd 17 maart 2019 10:58

Wat levert een eventuele verkoop van gegevens van 280000 mensen eigenlijk op?

wildhagen

Hackers
Beveiliging en antivirus

@Verwijderd • 17 maart 2019 11:04

Hangt van het soort gegevensd af. Kan varieren van 1 dollar per gestolen BSN-nummer, tot wel 2000 dollar per stuk in het geval van gestolen paspoort-informatie.

ZIe dit artikel: https://www.experian.com/...ling-for-on-the-dark-web/

Is dus een vrij lucratieve business om die info te verkopen op het darkweb.

Kenzi @wildhagen • 17 maart 2019 13:40

Diezelfde paspoort informatie is ook voor een paar cent te koop in China. Daar waar persoonsgegevens massaal verkocht worden, ook die van niet-Chinezen. Check je in China in bij een hotel dan maken ze vrijwel altijd een kopietje voor zichzelf, soms waar je bij staat en 5min later is die informatie te koop op QQ groepen.

monsieurpinot @Kenzi • 17 maart 2019 23:23

tip: https://webwinkel.anwb.nl/webwinkel/rfid-cover-paspoort.html

Call of Duty @Verwijderd • 17 maart 2019 11:02

https://www.trendmicro.co...or-stolen-data/#section-3

Hier kan je dat uitrekenen

Maar gaat om een paar honderd dollar per dossier

Call of Duty 17 maart 2019 11:05

In hun laatste update op Facebook geven ze aan dat er waarschijnlijk géén data gelekt is. Of lees ik het nu helemaal verkeerd?

Update hier

0xtw3 @Call of Duty • 17 maart 2019 11:10

Dat beweren ze, maar er staat ook dat deze server veel langer heeft opengestaan dan initieel gedacht, vanaf januari al. Ze staan bekend om liegen, en eerlijk gezegd kan ik me niet voorstellen dat niemand anders dan die VPNMentor researchers op die servers heeft ingelogd.

Researchers zijn ook maar "hackers", en hackers met kwade bedoelingen zijn ook maar "researchers".

[Reactie gewijzigd door 0xtw3 op 23 juli 2024 02:38]

Call of Duty @0xtw3 • 17 maart 2019 11:16

Ja, helemaal waar. Vertrouw dit soort partijen voor geen cent. (behalve dan alle centen die ik er al naar overgemaakt hebt). Hun verhaal over de firewall en de maatregelen die ze reeds genomen hebben, die hoor ik iedere dag bij een audit wel een keer of twee langskomen.

latka @Call of Duty • 17 maart 2019 13:22

Het is slecht engels. Maar er staat: de firewall deed het soms en we wissen data na 3 dagen. Ergo: ze weten niet wat er gelekt is want er is geen auditing.
In de 2e periode stond de firewall gewoon uit.

Dus ze denken dat er geen data gelekt maar kunnen dat niet onderbouwen. Ze kunnen wel aangeven dat de firewall uitstond. Ik lees dit als: we hebben data gelekt, maar weten niet hoeveel.

Heeft iemand van januari tot nu toe iets bestelt daar en al een notificatie gehad dat er info gestolen is? Is er al een melding gedaan bij de DPA (welk land zit de gdpr representative van Gearbest eigenlijk? Dat kan ik niet achterhalen).

Ik ben het nooit eens met Trump, maar China boycotten totdat ze verantwoordelijk gaan ondernemen lijkt me een steeds reelere optie.

Call of Duty @latka • 17 maart 2019 20:28

Globalegrow is het moederbedrijf en zit in Shenzen. GDPR in China? Helaas

Dat het een slechte zaak is moge duidelijk zijn maar 'China gaan boycotten' vanwege hun slappe IT security slaat natuurlijk ook nergens op. Boycot dan Gearbest, of alle partijen die voortvloeien uit Globalegrow. Genoeg partijen in de EU die de GDPR maar complete onzin vinden en informatiebeveiliging gewoon structuur niet in hun plannen meenemen.

latka @Call of Duty • 17 maart 2019 22:58

Zeker wel GDPR als er een europeesche klant wat gekocht heeft dat geld de GDPR gewoon. Afdwingen is een 2e (lastig enzo), maar ze moeten gewoon voldoen (staat ook in het privacy statement op de site van Gearbest, alleen zijn ze vergeten aan te geven bij welke lokale autoriteit ze meldingen doen van lekken. Zal wel samen met de firewall vergeten zijn...).

Gearbest staat hier niet alleen in, en alleen gearbest boycotten helpt dan ook niet echt.

Call of Duty @latka • 20 maart 2019 11:02

Ja ok, maar dat is in China natuurlijk gewoon onmogelijk. Ze zien je aankomen met je GDPR

Officieel moet het wel. Maar ook die regel staat in de GDPR en ook daar zullen ze in China geen enkele boodschap aan hebben.

latka @Call of Duty • 20 maart 2019 11:28

De AFM heeft gewoon het recht om:

"ordering the suspension of data fl ows to a recipient in a third country or to an international organisation."

Dus de website op zwart zetten kan gewoon gedaan worden. Daar heeft China niets mee te maken (behalve de gemiste omzet).

ilanix 17 maart 2019 19:00

Hoe zit het als je via Facebook inlogt?

Raymond Deen @ilanix • 17 maart 2019 19:24

Federated authentication werkt met, als het goed is, niet gebruikte tokens.
Je zou dus veilig moeten zijn voor gelekte gegevens op gearbest in dat geval.

Sinned123 @ilanix • 17 maart 2019 19:26

Dan ben je veilig.
Het logon proces vind volledig bij facebook plaats.
Die genereert een token, waar je bij gearbest mee kan doorloggen.

Meer info:
https://en.wikipedia.org/...ctory_Federation_Services

0xtw3 17 maart 2019 11:06

In een follow-up bericht hebben ze het nu over 570,000 klanten (https://scontent-amt2-1.x...fcba78491f8e1&oe=5D1C83EA).

[Reactie gewijzigd door 0xtw3 op 23 juli 2024 02:38]

Call of Duty @0xtw3 • 17 maart 2019 11:14

Ja, het aantal is inderdaad omhoog gegaan maar zoals ik hierboven aangeef hebben ze het er nu ook over dat er helemaal geen gegevens gelekt zouden zijn. Door de firewall

latka @Call of Duty • 17 maart 2019 13:23

Nee, er staat: we weten niet wat er gelekt is want de firewall deed het soms wel en we wissen na 3 dagen de data.

Call of Duty @latka • 17 maart 2019 20:29

Ja, dat klopt eigenlijk wel ja. Het staat er een beetje vreemd maar zoal je hierboven ergens aangeeft: ze weten het eigenlijk gewoon niet.

Wildfire

17 maart 2019 10:49

Volgens Gearbest zijn de beveiligingsonderzoekers binnengedrongen op een externe server waar tijdelijk klantengegevens worden opgeslagen voor efficiëntie.

Ik geloof er niets van. En al zou het wel zo zijn, dit soort klantgegevens horen nooit onbeveiligd opgeslagen te zijn!

Pixelmagic @Wildfire • 17 maart 2019 10:52

Er staat toch niet bij voor _wie_ het efficiënt zou zijn ?

Klinkt mij als een standaard Chenglish verhaal: "For your pleasure we have added...."

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

18 maart 2019 08:18

Wat ik persoonlijk erg raar vind is dat men helemaal niet eens de moeitje lijkt te nemen om gedupeerden aan te schrijven. Ik lees her en der reacties dat ook mensen die in de betreffende tijdspanne iets hebben besteld ook geen notificatie hebben ontvangen waarin het eea uitgelegd wordt en waarin men wordt geadviseerd tenminste het wachtwoord te wijzigen.

Yookes @Bor • 18 maart 2019 08:56

precies dit! het is dat ik tweakers dagelijks doorlees maar anders had ik ook nog niets vernomen! erg triest altijd zulke zaken, zeker als het over persoonsgegevens gaat.

dannx1986 @Bor • 18 maart 2019 13:18

Ik heb zaterdag een mailtje gekregen van Gearbest hierover

Wel een beetje nietszeggend maargoed.

_{Thank your recent order on Gearbest.

Customers' information is our priority, and we work hard to ensure protection of such information by implementing all available methods in the market.

In this context, we have found out that some orders information for orders placed between March 1st 2019 till March 15th, 2019 could have been compromised. We have already fixed the issue and your personal information and account information are safe and secured.

We remain at your entire disposal for any questions you may have.}

[Reactie gewijzigd door dannx1986 op 23 juli 2024 02:38]

Verwijderd 17 maart 2019 16:50

Heb er ooit eens wat gekocht maar ik heb toch een reset aangevraagd om zeker te zijn.
Goed dat ik het hier kon lezen

Zed_no1 17 maart 2019 17:31

Ik heb 12 maart een bestelling gedaan bij Gearbest maar nog geen mail ontvangen. Wel inmiddels men wachtwoord aangepast..

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (48)

Sorteer op:

Weergave: