Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gearbest: lek in klantdatabase heeft 280.000 klanten getroffen

Gearbest heeft publiekelijk excuses gemaakt over het recent opgemerkte lek in een server waar klantengegevens op stonden opgeslagen. Daarbij gaf de Chinese webwinkel ook aan dat het lek inmiddels verholpen is, en dat er gegevens van zo'n 280.000 klanten zijn uitgelezen.

De Chinese webwinkel gaf uitleg in een statement dat onder andere op de Facebook-pagina van het bedrijf is geplaatst. Nadat onderzoekers van VPNMentor vrijdag stelden binnen te zijn gedrongen op een klantdatabase is er onmiddellijk onderzoek verricht en zou het lek al na twee uur zijn verholpen.

Volgens Gearbest zijn de beveiligingsonderzoekers binnengedrongen op een externe server waar tijdelijk klantengegevens worden opgeslagen voor efficiëntie. De gegevens op de desbetreffende server worden drie dagen na het opslaan weer verwijderd, waardoor er een relatief kleine hoeveelheid gegevens op staan. Toch zijn 280.000 klanten getroffen door het binnendringen op de server.

Klanten die tussen 1 maart en 15 maart een bestelling hebben geplaatst op Gearbest zijn mogelijk blootgesteld aan de beveiligingsonderzoekers. Klanten die met de hack te maken hebben gehad krijgen persoonlijk bericht, en daarnaast geeft de webwinkel, naast excuses, aan dat het maatregelen neemt om dergelijke beveiligingslekken in de toekomst te voorkomen.

De onderzoekers van VPNMentor stellen zelf dat zij ook naast toegang tot klantengegevens ook url-toegang kregen tot het Kafka-databeheersysteem van Gearbest en moederbedrijf Globalegrow. Dit zou kwaadwillenden de gelegenheid geven hele delen van servers uit te schakelen.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

17-03-2019 • 10:42

48 Linkedin Google+

Submitter: Chocoball

Reacties (48)

Wijzig sortering
Op 18 november 2018 had ik ze ook al op de hoogte gebracht van een lek. Ik zag namelijk andermans tickets in mijn account. Ik kon door andere accounts heen bladeren. Dit was het antwoord:

Thank you for your message.
Please clear the cache. Re-login to the browser or try another browser.
Please send us the screenshot of the issue, then we can check it for you
.

Ja, ehhm, pardon? Het was/is jullie probleem, niet het mijne... Doe er wat aan zou ik zo zeggen. Ik vraag me af of een en ander met elkaar te maken had...

[Reactie gewijzigd door Slingeraap2 op 17 maart 2019 15:10]

Dat verzoek was gewoon een verkapte troubleshootvraag. Het is vrij normaal om bij afwijkend gedrag van een webapp om de browsercache leeg te gooien en dan opnieuw te testen. Ik snap dat het jouw probleem niet is maar voor de andere partij is het soms praktisch onmogelijk om een bug/situatie te reproduceren waardoor ze het probleem niet goed kunnen tackelen.
Dan zou het hier een corrupte server-cache moeten betreffen (#hoeDan), want als client-side je cache niet klopt, dan zou er server-side toch echt ergens een "access denied" error moeten verschijnen.
Het is vrij normaal om bij afwijkend gedrag van een web-app om de browsercache leeg te gooien en dan opnieuw te testen.
Dus betreffende bovenstaande quote: eens, als het een client-side issue zou betreffen. Hier wordt dus, server-side, data ingeladen van andere accounts. De enige, propere, response zou zijn geweest: "Holy shit, bedankt voor melden. Hele team is er NU mee bezig", of iets in die trend.

Anderzijds is de vraag voor extra informatie (screenshot, URI, mogelijk cookie file, etc) wel reëel. Die helpen het onderzoek.
Heeft het wachtwoord wijzigen nog zin? Want als ze ''alles'' buiten gemaakt hebben en het lek is nu verholpen, dan is het wel raadzaam om het ww te wijzigen lijkt mij?
ALTIJD je wachtwoord wijzigen. Altijd.

Je weet niet precies wat er is buitgemaakt, Gearbest houdt misschien informatie achter de hand of weet zelf ook niet de volledige omvang. Op dit gebied moet je geen risico nemen en gewoon je wachtwoord wijzigen.. Dat het lek nu verholpen is wil niet zeggen dat je wachtwoord nu opeens niet meer op Pastebin of het darkweb kan circuleren.
Dat het lek nu verholpen is wil niet zeggen dat je wachtwoord nu opeens niet meer op Pastebin of het darkweb kan circuleren.
Wat niet interessant is als je een wachtwoordmanager gebruikt met unieke, willekeurige wachtwoorden voor elke site.

Je moet je wachtwoord wijzigen omdat iemand anders met jouw wachtwoord op de gehackte dienst in kan loggen, met alle gevolgen van dien.
vooral als je een creditcard hebt, dan kunnen ze mogelijk deze gegevens achterhalen en alsnog dingen kopen.

voor ons nederlanders is er minder data kwijt, mbt betalingen, gezien vele het doen met ideal or paypall
Heb al meerdere mailtjes gekregen met een inlogmelding en zelfs een aankoop met mijn account bij greenmangaming, omdat m'n ww op pastebin staat :P
Was lui met ww.
Na een hack is het altijd raadzaam om je wachtwoord preventief te wijzigen. Al is het maar om het zekere voor het onzekere te nemen.
is afhankelijk van wat voor wachtwoorden het zijn.

Ik heb altijd shady wachtwoorden, voor dit soort websites. Dus ik moet altijd opnieuw een wachtwoord instellen en dan pak ik gewoon de eerst snelle wachtwoord om in te loggen.

Voor AliE en Amazon moet ik inderdaad toch wel even aanpassen om niet overal hetzelfde te hebben,.
  • gebruik een password manager
  • genereer een uniek, complex wachtwoord per toepassing
  • genereer een nieuw wachtwoord bij meldingen als deze
Plus: registreer een eigen domein en gebruik per contact een ander mailadres.
Dit is niet te doen. Als je voor elk restaurantbezoek en elke webwinkel waar je ooit gebruik van maakt een aparte mailbox moet bijhouden.
Ik gebruik wel een mailadres voor de meer vertrouwde contacten (bank, digid, notaris etc) een mailadres voor bekende (bol.com, coolblue) en een mailadres voor vagere contacten en een voor persoonlijke mail.

Als je voor elk contact een ander adres aan moet makenheb je een uur per week nodig om alles weer op te schonen aan te maken en weer weg te halen.
Daar gaat geen mens aan beginnen.
Je hoeft geen aparte mailboxen aan te maken. Je kunt alle mail op domeinniveau accepteren in één mailbox.

Wanneer ik Civlord.nl zou registreren zou ik bij Bol.com Bol@Civlord.nl als emailadres op kunnen geven en bij tweakers.net Tweakers@Civlord.nl.
Ik kan de server zo instellen dat alle email naar Civlord@Civlord.nl naar mijn privé mailbox gaat, terwijl de rest van de email naar het Civlord.nl domein in een andere mailbox gedumpt wordt. Door simpel te filteren of te sorteren op verzendadres kun je elke gewenste verzender er zo uithalen. (En zien wie je emailadres gedeeld heeft.)
Of je maakt simpelweg gewoon gebruik van de standaard. Al jaar en dag kun je een appendix aan je gebruikersnaam van je email toevoegen met een plus als seperator speciaal voor deze reden. Een paar voorbeelden:

bob+bol@example.com
bob+tweakers@example.com
bob+google@example.com

Mocht je een nieuwsbrief van het bedrijf binnenkrijgen dan zie je het adres wat jij hebt ingevuld. Mocht er dan iets binnenkomen van een "spam" partij, dan weet je wie jouw gegevens heeft doorgegeven of verkocht aan een dergelijke partij. Omdat de "spam" email bijv bob+bol@example.com als geaddresseerde zal bevatten.

Deze truc geeft je een hoop inzicht en niet veel mensen weten dat je dit kan doen. :9 Niet iedereen honoreert deze standaard maar in 80% van de gevallen werkt dit wel gewoon.

Voor de mensen die geintreseerd zijn in de RFC, een linkje voor jullie :) Relevante stuk staat op "Page 5".

[Reactie gewijzigd door EpicSoftworks op 18 maart 2019 13:23]

Heb me wachtwoord ook voor de zekerheid verandert op Gearbest, ook al heb ik geen email gehad er over.

Ja een password manager hebben is erg handig en veiliger, ik maak nu de laatste jaren ingewikkelde wachtwoorden, en waar geen namen of echte woorden in voor komen, ik tik maar wat aan op de toetsenbord, en dat woord me wachtwoord voor die website.

[Reactie gewijzigd door AmigaWolf op 17 maart 2019 16:21]

Nee, niet afhankelijk. Iedereen zou gewoon zijn wachtwoord moeten aanpassen. Als je ooit een transactie hebt gedaan, kan een gekraakte login tot meer leiden.
Wachtwoord wijzigen, neem aan dat je dat wachtwoord niet op andere sites gebruik die erg bekend zijn, zo ja, dan daar ook wijzigen.
Nee gebruik overal unieke wachtwoorden dmv Keepass.
Top, het is namelijk erg gebruikelijk om met gewonnen wachtwoorden even langs te gaan bij de grote bekenden, google, amazon, microsoft, facebook, ebay en wat andere grote sites. Aangeziens het geautomatiseerd gaat, gaat dit best diep. Dacht noem het even voor de zekerheid.
ja ik weet het. daarom zeg ik ook altijd tegen mensen die te lui zijn om aparte wachtwoorden te maken. Doe op zijn minst belangrijke zaken aprte wachtwoorden. En je mail ook. Als ze in je mail komen kunnen ze overal bij.

Maar met deze toenemende lekken en hacken zou iedereen iets als lastpass of keepass moeten gebruiken. Zeker omdat men tegenwoordig van steeds meer sites een account heeft.
Wat levert een eventuele verkoop van gegevens van 280000 mensen eigenlijk op?
Hangt van het soort gegevensd af. Kan varieren van 1 dollar per gestolen BSN-nummer, tot wel 2000 dollar per stuk in het geval van gestolen paspoort-informatie.

ZIe dit artikel: https://www.experian.com/...ling-for-on-the-dark-web/

Is dus een vrij lucratieve business om die info te verkopen op het darkweb.
Diezelfde paspoort informatie is ook voor een paar cent te koop in China. Daar waar persoonsgegevens massaal verkocht worden, ook die van niet-Chinezen. Check je in China in bij een hotel dan maken ze vrijwel altijd een kopietje voor zichzelf, soms waar je bij staat en 5min later is die informatie te koop op QQ groepen.
https://www.trendmicro.co...or-stolen-data/#section-3

Hier kan je dat uitrekenen :) Maar gaat om een paar honderd dollar per dossier
In hun laatste update op Facebook geven ze aan dat er waarschijnlijk géén data gelekt is. Of lees ik het nu helemaal verkeerd?

Update hier
Dat beweren ze, maar er staat ook dat deze server veel langer heeft opengestaan dan initieel gedacht, vanaf januari al. Ze staan bekend om liegen, en eerlijk gezegd kan ik me niet voorstellen dat niemand anders dan die VPNMentor researchers op die servers heeft ingelogd.

Researchers zijn ook maar "hackers", en hackers met kwade bedoelingen zijn ook maar "researchers".

[Reactie gewijzigd door 0xtw3 op 17 maart 2019 11:13]

Ja, helemaal waar. Vertrouw dit soort partijen voor geen cent. (behalve dan alle centen die ik er al naar overgemaakt hebt). Hun verhaal over de firewall en de maatregelen die ze reeds genomen hebben, die hoor ik iedere dag bij een audit wel een keer of twee langskomen.
Het is slecht engels. Maar er staat: de firewall deed het soms en we wissen data na 3 dagen. Ergo: ze weten niet wat er gelekt is want er is geen auditing.
In de 2e periode stond de firewall gewoon uit.

Dus ze denken dat er geen data gelekt maar kunnen dat niet onderbouwen. Ze kunnen wel aangeven dat de firewall uitstond. Ik lees dit als: we hebben data gelekt, maar weten niet hoeveel.

Heeft iemand van januari tot nu toe iets bestelt daar en al een notificatie gehad dat er info gestolen is? Is er al een melding gedaan bij de DPA (welk land zit de gdpr representative van Gearbest eigenlijk? Dat kan ik niet achterhalen).

Ik ben het nooit eens met Trump, maar China boycotten totdat ze verantwoordelijk gaan ondernemen lijkt me een steeds reelere optie.
Globalegrow is het moederbedrijf en zit in Shenzen. GDPR in China? Helaas :+

Dat het een slechte zaak is moge duidelijk zijn maar 'China gaan boycotten' vanwege hun slappe IT security slaat natuurlijk ook nergens op. Boycot dan Gearbest, of alle partijen die voortvloeien uit Globalegrow. Genoeg partijen in de EU die de GDPR maar complete onzin vinden en informatiebeveiliging gewoon structuur niet in hun plannen meenemen.
Zeker wel GDPR als er een europeesche klant wat gekocht heeft dat geld de GDPR gewoon. Afdwingen is een 2e (lastig enzo), maar ze moeten gewoon voldoen (staat ook in het privacy statement op de site van Gearbest, alleen zijn ze vergeten aan te geven bij welke lokale autoriteit ze meldingen doen van lekken. Zal wel samen met de firewall vergeten zijn...).

Gearbest staat hier niet alleen in, en alleen gearbest boycotten helpt dan ook niet echt.
Ja ok, maar dat is in China natuurlijk gewoon onmogelijk. Ze zien je aankomen met je GDPR :D
Officieel moet het wel. Maar ook die regel staat in de GDPR en ook daar zullen ze in China geen enkele boodschap aan hebben.
De AFM heeft gewoon het recht om:

"ordering the suspension of data fl ows to a recipient in a third country or to an international organisation."

Dus de website op zwart zetten kan gewoon gedaan worden. Daar heeft China niets mee te maken (behalve de gemiste omzet).
Hoe zit het als je via Facebook inlogt?
Federated authentication werkt met, als het goed is, niet gebruikte tokens.
Je zou dus veilig moeten zijn voor gelekte gegevens op gearbest in dat geval.
Dan ben je veilig.
Het logon proces vind volledig bij facebook plaats.
Die genereert een token, waar je bij gearbest mee kan doorloggen.

Meer info:
https://en.wikipedia.org/...ctory_Federation_Services
In een follow-up bericht hebben ze het nu over 570,000 klanten (https://scontent-amt2-1.x...fcba78491f8e1&oe=5D1C83EA).

[Reactie gewijzigd door 0xtw3 op 17 maart 2019 11:07]

Ja, het aantal is inderdaad omhoog gegaan maar zoals ik hierboven aangeef hebben ze het er nu ook over dat er helemaal geen gegevens gelekt zouden zijn. Door de firewall :)
Nee, er staat: we weten niet wat er gelekt is want de firewall deed het soms wel en we wissen na 3 dagen de data.
Ja, dat klopt eigenlijk wel ja. Het staat er een beetje vreemd maar zoal je hierboven ergens aangeeft: ze weten het eigenlijk gewoon niet.
Volgens Gearbest zijn de beveiligingsonderzoekers binnengedrongen op een externe server waar tijdelijk klantengegevens worden opgeslagen voor efficiëntie.
Ik geloof er niets van. En al zou het wel zo zijn, dit soort klantgegevens horen nooit onbeveiligd opgeslagen te zijn!
Er staat toch niet bij voor _wie_ het efficiënt zou zijn ?

Klinkt mij als een standaard Chenglish verhaal: "For your pleasure we have added...."
Wat ik persoonlijk erg raar vind is dat men helemaal niet eens de moeitje lijkt te nemen om gedupeerden aan te schrijven. Ik lees her en der reacties dat ook mensen die in de betreffende tijdspanne iets hebben besteld ook geen notificatie hebben ontvangen waarin het eea uitgelegd wordt en waarin men wordt geadviseerd tenminste het wachtwoord te wijzigen.
precies dit! het is dat ik tweakers dagelijks doorlees maar anders had ik ook nog niets vernomen! erg triest altijd zulke zaken, zeker als het over persoonsgegevens gaat.
Ik heb zaterdag een mailtje gekregen van Gearbest hierover :+ Wel een beetje nietszeggend maargoed.

Thank your recent order on Gearbest.

Customers' information is our priority, and we work hard to ensure protection of such information by implementing all available methods in the market.

In this context, we have found out that some orders information for orders placed between March 1st 2019 till March 15th, 2019 could have been compromised. We have already fixed the issue and your personal information and account information are safe and secured.

We remain at your entire disposal for any questions you may have.

[Reactie gewijzigd door dannx1986 op 18 maart 2019 13:23]

Heb er ooit eens wat gekocht maar ik heb toch een reset aangevraagd om zeker te zijn.
Goed dat ik het hier kon lezen :)
Ik heb 12 maart een bestelling gedaan bij Gearbest maar nog geen mail ontvangen. Wel inmiddels men wachtwoord aangepast..

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrisch rijden

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True