配置錯誤的防火牆暴露了數以萬計的最佳客戶數據

A Misconfigured Firewall Exposes the Data of Hundreds of Thousands of Gearbest Customers

Noam Rotem是最近發現數據洩露影響中東來電顯示應用程序用戶的安全研究人員的一半。在3月初,他被邀請來幫助調查vpnMentor的一組研究人員遇到的另一個潛在風險。

Rotem被要求查看Elasticsearch服務器。 Elasticsearch是一個數據庫管理系統,公司用它來組織和搜索客戶的信息。有時,Elasticsearch服務器不需要連接到萬維網,有時也可以連接到萬維網。但是,它們總是需要受到保護,而vpnMentor發現的並非如此。

該服務器屬於Gearbest,這是一家中國在線零售商,銷售從化妝到3D打印機的所有產品。這個購物網站已經存在了將近五年,它似乎非常受歡迎,考慮到它暴露了客戶數據這一事實,這是一個令人擔憂的問題。

三個數據庫和大量敏感信息暴露出來

正如我們將在一分鐘內看到的那樣,對受影響客戶的確切數量進行了一些爭論。毫無爭議的是,暴露的數據幾乎與Gearbest銷售的產品一樣多變。 Rotem和vpnMentor團隊共找到三個數據庫:

  • 訂單數據庫包含姓名,電子郵件,電話號碼,送貨地址以及客戶購買產品的信息。
  • 付款數據庫中充滿了電子郵件和IP地址,訂單號和付款信息。
  • 會員數據庫存儲了密碼,地址,出生日期,電話號碼,電子郵件,IP,身份證和護照信息。

正如Rotem在他第一次分析數據時指出的那樣,訂單細節的曝光可能會讓一些人陷入困境。例如,在某些國家購買成人玩具會產生嚴重的法律後果,他確實看到了這種確切的訂單。此外,數據庫保存的信息很容易被用於身份盜用,令人擔憂的是,大多數數據(包括人的密碼)都沒有以任何方式加密。

研究人員試圖告知Gearbest

Rotem和vpnMentor團隊“反复”試圖與Gearbest取得聯繫,讓中國零售商知道發生了什麼,但他們沒有得到答复。然後,研究人員向TechCrunch的Zack Whittaker尋求幫助,但即使是高調的技術出版物的名稱也不足以引起Gearbest的回應。最後, vpnMentorTechCrunch感覺他們別無選擇,只能公開宣布這一消息. 突然間,Gearbest全是耳朵。

Gearbest最後回應

3月15日,在Rotem和Whittaker的帖子發布幾小時後,Gearbest利用其Facebook頁面發布正式聲明 。根據它,Gearbest的服務器沒有受到影響。顯然,Rotem及其團隊發現的是網上商店用來更有效地組織數據的一些“外部工具”。據稱,受影響的工具只存儲新註冊用戶的信息,他們顯然只持有三天。 3月1日,Gearbest安全團隊的一名成員“錯誤地”拆除了防火牆,保護了全世界可用的信息。

雖然Rotem在暴露的數據庫中總共有150萬條記錄,但Gearbest的初步計算表明,總共有大約28萬用戶受到影響。兩天后,重新審視了這個數字。

從3月17日開始的第二次Facebook更新試圖更加了解情況。據稱,Elasticsearch服務器於2019年初首次曝光,當時為了“減少網絡抖動”,Gearbest的IT團隊改變了部分後端基礎設施的配置。他們當時並不知道,但新設置意味著防火牆會不時地自動停用它。 3月1日,經過一些調整後,防火牆被永久關閉,信息被公開。作為這一新發現的結果,Gearbest估計大約有57萬人的記錄可能已被暴露,但他們指出,他們沒有看到任何人刮擦或濫用信息的證據。

一旦消息傳出,服務器就被取消了,一個名為Noam Rotem的Gearbest代表感謝他和他的團隊的工作。 Rotem 問他們為什麼最初沒有採取行動,雖然沒有具體原因,但他被告知中國零售商已經確定誰負責處理安全通知。看起來有人即將面對音樂,這可能也是如此,因為Gearbest對整個事情的反應(或缺乏)表明網上商店沒有做好應對安全事件的準備。這里希望現在已經吸取了教訓。

April 12, 2019

發表評論