GearBest lekt klantgegevens via onbeveiligde database

doorSecuratis

GearBest lekt klantgegevens via onbeveiligde database

De populaire Chinese webwinkel GearBest heeft via een onbeveiligde database de gegevens van een groot aantal klanten gelekt, waaronder adresgegevens, e-mailadres, telefoonnummer, geboortedata, bestelgegevens en zelfs paspoortinformatie.

Dat stelt onderzoeker Noam Rotem die zijn bevindingen via de website van VPNMentor deelde. De gegevens werden in een onbeveiligde Elasticsearch-database gevonden. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie en Elasticsearch-databases kunnen terabytes aan gegevens bevatten. De informatie die de onderzoeker aantrof was voor iedereen zonder wachtwoord toegankelijk.

De database bevatte naast bestel- en factuurgegevens ook informatie van leden, waaronder namen, adresgegevens, geboortedata, telefoonnummer, e-mailadres, ip-adres, nationale identiteitskaart- en paspoortinformatie en accountwachtwoorden, aldus Rotem. In totaal vond de onderzoeker 1,5 miljoen records in de database. Via de gegevens is het mogelijk om op de accounts van GearBest-klanten in te loggen, zo schrijft de onderzoeker.

Rotem waarschuwde GearBest, maar het bedrijf gaf geen reactie en de database is nog steeds niet beveiligd. “Gearbest-klanten moeten de risico’s kennen als ze een website gebruiken die geen moeite doet om zijn klanten te beschermen”, merkt de onderzoeker op.

https://www.security.nl/posting/601597/GearBest+lekt+klantgegevens+via+onbeveiligde+database?channel=rss

Over de auteur

Securatis administrator