Disclosure:
联盟委员会

虽然VPnmentor可以在使用我们的链接进行购买时收到佣金,但这对评论内容或审查的产品/服务没有影响。我们提供直接链接,以购买作为附属计划的一部分的产品。

• Ownership

VPnmentor由Kape Technologies PLC拥有,拥有以下产品:Cyber​​Ghost,Zenmate,私人互联网接入和Intego,可以在本网站上进行审核。

•专业评论

VPnmentor包含由我们的社区审核人员撰写的评论,并根据审阅者的独立和专业审查产品/服务。

• Reviews Guidelines

VPnmentor上发布的审查由专家撰写,根据我们的严格审查标准来检查产品。此类标准确保每次审查都基于对审核人的独立,专业和诚实的审查,并考虑了产品的技术能力和品质,以及3d彩吧论坛的商业价值,也可能影响该产品在网站上的排名。

报告–Gearbest Hack:每天受到巨大数据违规影响的数十万

由Noam Rotem领导,着名的白帽黑客和活动家, VPnmentor的研究 团队在齿轮中发现了一个主要的安全泄露。 

每天都有数十万次销售, Gearbest是一个非常成功的中国电子商务公司.

该网站销售一系列电子产品和设备,以及服装,配件和本土。虽然它 销售一些国际知名品牌 像OnePlus,大多数是较小的中国品牌。

它以全球的250多个国家和地区送货, 在近30%的这些地区的前100个网站中排名。 Gearbest有18种语言的子域,产生全球吸引力。

Gearbest由中国集团,Globalegrow拥有。父母 公司经营着几个国际成功的网站,包括Zaful,Rosegal和Clesslily。 2015年,他们的销售额达到5.5亿美元; 2017年看到公司庆祝A. 14.8亿美元的营业额.

该公司的失控成功是Gearb Best及其姐妹公司的胜利。但是,它是 对网站的客户来说并不是那么好消息.

VPNMENTOR可以专门揭示 Gearbest的数据库完全不安全 - 那就是属于其姐妹公司的人。

变速数据泄露

我们的黑客可以访问Gearbest数据库的不同部分,包括:

  • 订单数据库
    数据包括购买的产品;运输地址和邮政编码;顾客姓名;电子邮件地址;电话号码
  • 付款和发票数据库
    数据包括订单号;付款方式;支付信息;电子邮件地址;名称; IP地址
  • 成员数据库
    数据包括名称;地址;出生日期;电话号码;电子邮件地址; IP地址;国家身份证和护照信息;帐户密码

我们于2019年3月访问了这些数据库,并发现了1.5万令吉的记录。

Gearbest的数据库不仅是无担保的。它还提供潜在的恶意代理商,具有不断更新的新数据供应。

安全问题

除了我们访问数百万3d彩吧论坛的完整个人身份信息的完整套装的能力之外,Gearbbest的数据泄露会提出几个非常严重的问题。

3d彩吧论坛隐私

Gearbest的隐私政策指出,虽然他们这样做 收集3d彩吧论坛信息,它是以服务于客户的重点目的。

隐私政策还指定,虽然3d彩吧论坛对自己的密码负责,但它们 加密敏感信息 并采用外部验证软件来保护客户。

由于这个黑客而被观看的数据显示这是不真实的。我们看到了许多敏感的信息 - 包括电子邮件地址和密码 - 完全没有加密。

此外,这是 数据库包含大量的个人身份信息 填写电子商务商店的职责时不需要。例如,送货地址对于履行订单至关重要。 IP地址不是。

鉴于目前对更开放和诚实的互联网的趋势特别令人担忧。多个行业的服务提供商,范围从 Cyber​​ghost VPN. 到沃尔玛(沃尔玛最近发表了透明度报告), 努力提高客户的透明度。 Gearbest的阴暗实践相反。

Gearbest似乎侵犯了自己隐私政策。但是,这不是3d彩吧论坛隐私的最大风险。

3d彩吧论坛安全

填充个人信息的开放数据库可以危及3d彩吧论坛在线安全。我们看到的记录 全套未加密的数据,包括电子邮件地址和密码.

(值得注意的是,一些电子邮件地址包含一些散列。我们不知道这是故意的,应该出现在无处不在,或者他们的一些数据损坏了。我们的黑客认为这是一个简单的部分实施的安全措施不做工作。)

下面的屏幕截图显示了从数据库收获的两组3d彩吧论坛数据的片段。

我们能够登录这两个齿轮 并操作它们,好像我们是3d彩吧论坛。我们可以查看当前和过去的订单,累积齿轮,并更改帐户密码和详细信息。

黑客可以使用此信息来创建“本地”损坏:通过使用电子邮件和密码访问3d彩吧论坛帐户,他们可以更改3d彩吧论坛订单,操作帐户详细信息,并从已保存的付款方式支付款项。

但是,此信息也可以以更加险恶的方式使用。通过交叉引用不同的数据库, 黑客可以轻松地窃取最令人讨厌的客户的身份.

如下所示,成员数据库包括此3d彩吧论坛的IP地址,完整的邮政地址,电子邮件地址,出生日期,以及最令人担忧的国家身份证号码。

根据国家和要求,这可能是给黑客的信息 访问在线政府门户,银行应用,健康保险记录, 和更多。

付款详情

在审查付款和发票数据库时,我们注意到“Boleto”术语出现多次,专门用于巴西订单(巴西占9.2%的Gearbest全球流量)。

它是指Boleto Bancario(字面意思是“银行票”),a 由巴西银行联合会监管的付款方式.

它类似于墨西哥的Oxxo支付系统。 oxxo. 允许3d彩吧论坛创建凭证,如借记卡:3d彩吧论坛加载了他们选择的金额,可以花费有什么可用的。每个优惠券都有一个唯一的条形码;这使3d彩吧论坛可以访问他们的钱。

在我们访问的数据库中,使用这些方法中的任何一个都包括“Ebanx”的付款.“这些链接显示了所使用的主动券,以其现金金额填写。数据也是如此 包括Oxxo和Boleto优惠券的独特条形码;此信息允许黑客充当3d彩吧论坛。我们还可以访问客户的收据,完整的银行信息。

订单详情:性玩具丑闻

人们订单的确切内容是可见的 在Orders数据库上。所有项目的确切制作,颜色,尺寸和成本都可以查看,以及3d彩吧论坛名和送货地址。

与这些未受保护的数据库中可用的其他信息相比,这似乎特别令人震惊。然而 某些人订单的内容已被证明非常透露 - 在某些情况下,甚至危及生命。

隐藏在Gearbest的“服装”类别的“销售”部分中, 3d彩吧论坛可以找到一系列大量的性玩具。商店的开放数据库的性质意味着您的私人购买的细节可以迅速成为公众知识。

对于世界各地的许多成年人来说,购买性玩具并不有问题。例如,下面图像中显示的订单属于巴西和希腊的人。

这些国家有关于性和同性恋的私人法律。在背景下,巴西举办了世界上最大的骄傲游行,自1951年以来的希腊在希腊方面具有法律。虽然被释放的订单的内容可能会令买方令人尴尬, 此类信息的出版不能导致法律反应.

但是,到处都不是这种情况。在检查数据库时,我们跨过男性巴基斯坦3d彩吧论坛的订单信息。

这家客户购买了硅胶假阳具;事实上,进一步检查数据库显示他实际上购买了三个。每次购买都包含略微不同的信息,这就是为什么街道地址未出现在上面的图像中。

巴基斯坦对许多西方国家认为理所当然的性行为不享受同样的自由态度。

全国的 严格的法律规定了通奸和婚前性行为 刑事罪行 可判处监禁和罚款。该国的宗教法也允许通过扔石头或体罚来死亡。

LGBT权利有限,同样的惩罚适用。 LGBT社区也遭受了社会耻辱,缺乏法律保护,以及伊斯兰社会排除了接受LGBT人民的伊斯兰社会。

这也值得注意,文化上,买方不太可能为他的买方的妻子购买此购买。

这些法律使我们的巴基斯坦购物者成为为什么Gearbest的开放数据库如此危险的奖励榜样。 简单的搜索给了我们他的全名,电子邮件地址,街道地址和IP地址。 更详细的搜索可能会向我们展示他的出生日期和帐户密码,让我们看到他以前的订单信息。

我们不是恶意的,并分享这项(高度审查的)信息 突出显示该开放数据库的危险。其他人可能有非常不同的意图。在巴基斯坦政府的手中,这些信息可能意味着这位3d彩吧论坛的文字死刑。

如何齿轮伤害自己

Gearbest正在暴露数百万3d彩吧论坛的数据。然而, 公司也伤害了自己.

我们的黑客发现的索引不仅仅适用于他们的3d彩吧论坛数据库。他们还包括URL访问Gearbest的 - 和Globalegrow's - Kafka系统。

Kafka是一个数据管理程序,有助于大公司控制通过每个服务器发送的站点数据量。这有用了两个目的:它可以防止服务器过载并保持效率,并允许公司收集大数据。

这种访问 允许恶意黑客操纵信息,重新分配数据库属性,甚至禁用公司服务器的整个部分。根据每个服务器的功能,这可能会破坏数据收集,订单和库存和仓库管理。

道德黑客

我们发现了这一违反的一部分 道德黑客项目。 Noam Rotem是一个着名的白帽活动家和黑客以及Ran L.及其团队,正在运行一个Web扫描项目,该项目检查IP块和系统漏洞,用于数据泄漏。

他们验证了数据库的所有者 创建,输入和识别数据.

他们发现了Globalegrow的 整个数据库是无保护的,大多是未加密的。该公司使用Elasticsearch数据库,这些数据库通常不是用于URL使用。但是,我们能够通过浏览器访问它,并在任何时间操纵URL搜索条件,以便在任何时间从单个索引中曝光最多10,000个架构。

作为 道德黑客,我们有义务 当我们发现安全缺陷时,向网站接触。当公司的数据泄露影响如此多的人 - 在变速箱的情况下,这尤其如此,这个问题每天都会影响数十万人。

然而,这些道德也意味着我们携带一个 公众责任。齿轮最令人讨厌的购物者应该了解他们使用不努力保护其3d彩吧论坛的网站时所需的风险。

我们反复联系了齿轮和Globalegrow 告知他们这个违规行为,并在我们发布这篇文章时让他们。他们有几天的通知。不幸的是,我们反复尝试要求这些公司加强和保护他们的3d彩吧论坛不成功。在出版时,我们尚未收到回应。

过去的报道

我们最近透露了这一点 Dalil经历了大规模的数据泄露。 Dalil是沙特阿拉伯最大的电话目录应用程序,漏洞影响了500多万3d彩吧论坛。您可能还想阅读我们的报告 在伊朗使用的假应用程序 to monitor users, VPN泄漏报告 and 数据隐私统计报告.

在Facebook上分享此报告 或者 推特。

关于作者

为VPnmentor写的匿名专家,但保留他们的身份秘密。

你喜欢这篇文章吗?评分!
我讨厌它! 我真的不喜欢它 这个还行吧 非常好! 爱它!
Voted by 3d彩吧论坛
感谢您的反馈意见
Comment 注释必须是5到2500个字符。