اكتشف فريق المتسللين في VPNMentor أن عملاق التداول الصيني عبر الإنترنت Gearbest يخزن بيانات العميل في قواعد بيانات يسهل الوصول إليها.
اكتشف رجال VPNMentor العديد من قواعد البيانات (غير القياسية) الخاصة بـ Elasticsearch مع ملايين السجلات التي تحتوي على تفاصيل العميل ومعلومات الطلب وبيانات الدفع.
يتم دعم كل هذه الأشياء واستخدامها من قبل Gearbest ، الذي يقع موقعه في أكبر 250 موقعًا على الإنترنت بالكامل. تبيع Gerbest علامات تجارية كبرى مثل Asus و Huawei و Intel و Lenovo ، وتقدم إلى أكثر من 250 دولة وتدعم الإصدارات المحلية من المتجر بـ 18 لغة.
في المجموع ، تم العثور على ثلاث قواعد بيانات متاحة بحرية ، تحتوي على أكثر من 1.5 مليون سجل:
- الطلبات الأساسية - تحتوي على البضائع وعناوين التسليم والبريد الإلكتروني للعملاء وأسمائهم وعناوين IP.
- قاعدة الدفع - تتكون من أرقام الطلبات وأنواع الدفع ومعلومات الدفع وأسماء العملاء وعناوين IP الخاصة بهم.
- قاعدة العملاء - تحتوي على أسماء العملاء وتواريخ ميلادهم وعناوينهم وأرقام هواتفهم ورسائل البريد الإلكتروني وعناوين IP وجوازات السفر وحتى الوصول إلى كلمات المرور للطلبات.
الأهم من ذلك ، يتم تحديث قاعدة البيانات هذه ، أي تتم كتابة خطوط جديدة مع بيانات الطلبات الجديدة في ذلك.