配置错误的防火墙暴露了数以万计的最佳客户数据

A Misconfigured Firewall Exposes the Data of Hundreds of Thousands of Gearbest Customers

Noam Rotem是最近发现数据泄露影响中东来电显示应用程序用户的安全研究人员的一半。在3月初,他被邀请来帮助调查vpnMentor的一组研究人员遇到的另一个潜在风险。

Rotem被要求查看Elasticsearch服务器。 Elasticsearch是一个数据库管理系统,公司用它来组织和搜索客户的信息。有时,Elasticsearch服务器不需要连接到万维网,有时也可以连接到万维网。但是,它们总是需要受到保护,而vpnMentor发现的并非如此。

该服务器属于Gearbest,这是一家中国在线零售商,销售从化妆到3D打印机的所有产品。这个购物网站已经存在了将近五年,它似乎非常受欢迎,考虑到它暴露了客户数据这一事实,这是一个令人担忧的问题。

三个数据库和大量敏感信息暴露出来

正如我们将在一分钟内看到的那样,对受影响客户的确切数量进行了一些争论。毫无争议的是,暴露的数据几乎与Gearbest销售的产品一样多变。 Rotem和vpnMentor团队共找到三个数据库:

  • 订单数据库包含姓名,电子邮件,电话号码,送货地址以及客户购买产品的信息。
  • 付款数据库中充满了电子邮件和IP地址,订单号和付款信息。
  • 会员数据库存储了密码,地址,出生日期,电话号码,电子邮件,IP,身份证和护照信息。

正如Rotem在他第一次分析数据时指出的那样,订单细节的曝光可能会让一些人陷入困境。例如,在某些国家购买成人玩具会产生严重的法律后果,他确实看到了这种确切的订单。此外,数据库保存的信息很容易被用于身份盗用,令人担忧的是,大多数数据(包括人的密码)都没有以任何方式加密。

研究人员试图告知Gearbest

Rotem和vpnMentor团队“反复”试图与Gearbest取得联系,让中国零售商知道发生了什么,但他们没有得到答复。然后,研究人员向TechCrunch的Zack Whittaker寻求帮助,但即使是高调的技术出版物的名称也不足以引起Gearbest的回应。最后, vpnMentorTechCrunch感觉他们别无选择,只能公开宣布这一消息. 突然间,Gearbest全是耳朵。

Gearbest最后回应

3月15日,在Rotem和Whittaker的帖子发布几小时后,Gearbest利用其Facebook页面发布正式声明 。根据它,Gearbest的服务器没有受到影响。显然,Rotem及其团队发现的是网上商店用来更有效地组织数据的一些“外部工具”。据称,受影响的工具只存储新注册用户的信息,他们显然只持有三天。 3月1日,Gearbest安全团队的一名成员“错误地”拆除了防火墙,保护了全世界可用的信息。

虽然Rotem在暴露的数据库中总共有150万条记录,但Gearbest的初步计算表明,总共有大约28万用户受到影响。两天后,重新审视了这个数字。

从3月17日开始的第二次Facebook更新试图更加了解情况。据称,Elasticsearch服务器于2019年初首次曝光,当时为了“减少网络抖动”,Gearbest的IT团队改变了部分后端基础设施的配置。他们当时并不知道,但新设置意味着防火墙会不时地自动停用它。 3月1日,经过一些调整后,防火墙被永久关闭,信息被公开。作为这一新发现的结果,Gearbest估计大约有57万人的记录可能已被暴露,但他们指出,他们没有看到任何人刮擦或滥用信息的证据。

一旦消息传出,服务器就被取消了,一个名为Noam Rotem的Gearbest代表感谢他和他的团队的工作。 Rotem 问他们为什么最初没有采取行动,虽然没有具体原因,但他被告知中国零售商已经确定谁负责处理安全通知。看起来有人即将面对音乐,这可能也是如此,因为Gearbest对整个事情的反应(或缺乏)表明网上商店没有做好应对安全事件的准备。这里希望现在已经吸取了教训。

April 12, 2019

发表评论