Z portalu Gearbest, chińskiego giganta zakupów online, wyciekają miliony kont użytkowników, w tym dane personalne, numery telefonów, adresy e-mail oraz historie zamówień. Powód? Niezabezpieczony żadnym hasłem serwer. Kamil Sadkowski, starszy analityk zagrożeń w ESET radzi, w jaki sposób uniknąć kłopotów w przypadku niespodziewanego wycieku naszych danych.
Historia lubi się powtarzać. Całkiem niedawno ESET donosił na temat aplikacji Dalil App, która dzięki nieodpowiednio zabezpieczonej bazie danych ujawniała dane ponad 5 milionów użytkowników. Nieco wcześniej, bo w połowie lutego, media informowały o gigantycznym wycieku danych ponad 617 milionów kont z szesnastu popularnych portali, w tym m.in. Dubsmasha oraz MyFitnessPala. Teraz ofiarą braku odpowiednich zabezpieczeń padł Gearbest – chiński portal zakupowy, zaliczany do 250 najlepszych stron internetowych, w którym można kupić produkty takich producentów jak Asus, Huawei, Intel czy Lenovo. Jak podaje portal TechCrunch, badacz bezpieczeństwa Noam Rotem odkrył, że serwer Elasticsearch, na którym znajdują się dane użytkowników portalu Gearbest, nie jest zabezpieczony hasłem. W związku z tym serwera portalu od 7 marca br. wyciekają dane milionów użytkowników. Wśród nich znajdują się imiona i nazwiska posiadaczy kont, ich adresy e-mail, numery telefonów, historia zamówień oraz płatności. Niektóre rekordy posiadają nawet numery paszportów oraz dowodów osobistych (ID).
Jak zabezpieczyć się przed niespodziewanym wyciekiem danych?
Jak podkreśla Kamil Sadkowski, starszy analityk zagrożeń w ESET, to z pewnością nie ostatni tak duży wyciek danych użytkowników portali internetowych. Zalecam w takich sytuacjach:
- Zmienić hasło do portalu, z którego wyciekły dane. Jeśli używaliśmy go w innych serwisach – natychmiast wygenerować dla każdego portalu silne, unikalne hasło składające się z dużych, małych liter, znaków specjalnych oraz cyfr (najlepiej za pomocą menadżera haseł).
- Sprawdzić, czy nasze dane wyciekły.
Kolejna wpadka Gearbest
Portal TechCrunch skontaktował się z Gearbest poprzez dedykowaną stronę z formularzem dotyczącą bezpieczeństwa sklepu. Serwis zakupów online, pomimo zapytań redakcji, nie odpowiedział żadnym komentarzem, ani nie zabezpieczył danych znajdujących się na serwerze. Przypomnijmy, że to nie pierwszy wyciek danych z portalu Gearbest – ostatnia taka sytuacja miała miejsce w grudniu 2017 roku.