פרצת אבטחה באתר הקניות Gearbest אותרה על ידי חוקרים ישראלים

קוד מטריקס Photo by Markus Spiske on Unsplash

חוקרי אבטחה ישראלים מצאו פרצת אבטחה חמורה במאגר הנתונים של אתר הקניות המקוון Gearbest, אחד מהאתרים הפופולריים בישראל. הפרצה אפשרה גישה לא מורשית למידע על מאות אלפי הזמנות ופרטי משתמשים הכוללים את הסיסמאות שלהם.

לפי אתר vpnMentor וחוקר האבטחה הישראלי נועם רותם שפרסם את המידע, מסד הנתונים של Gearbest ואתרים שותפים דוגמת Zaful, Rosegal ו-DressLily לא אובטח בצורה נכונה, מה שאפשר לחוקרי האבטחה לחדור ל-3 מאגרי מידע של האתר ולהוציא מהם פרטים על ההזמנות והמשתמשים:

  • מאגר ההזמנות – מידע על מוצרים שנרכשו, כתובות משלוח, מיקוד, שמות, טלפונים ומיילים.
  • מאגר התשלומים – מידע על מספרי הזמנות, מידע על סוג אמצעי תשלום, כתובות מייל, שמות וכתובות IP.
  • מאגר משתמשים – מידע על שמות, כתובות, תאריכי לידה, מספרי טלפון, מיילים, כתובות IP, מספרי דרכון ות”ז וסיסמאות.

חוקרי האבטחה פנו מספר פעמים לאתר Gearbest על מנת לדווח על פרצת האבטחה אבל לא קיבלו מענה מהחנות עד לשלב מאוחר יותר בו פורסמה הידיעה באתר Android Police.

לפי תגובה עדכנית של אתר Gearbest חומת האש (Firewall) שמגנה על האתר ומאגר הנתונים שלו חוותה בעיות בין ה-10 בינואר וה-28 בפברואר ואף כובתה מסיבה לא ידועה בין ה-1 ועד ה-15 במרץ, מה שאיפשר, לפי בדיקות פנימיות של האתר זליגה של מידע מכ-570,000 הזמנות.

במידה והינכם לקוחות של אתר Gearbest מומלץ לשנות את הסיסמה לחשבון להקפיד על שימוש ב-PayPal כאמצעי תשלום, מה שימנע זליגת מידע של אמצעי התשלום.

לפניכם שני מכתבי התגובה, כפי שפורסמו על ידי Gearbest בעמוד הפייסבוק הרשמי של החברה:

הצטרפו לערוץ הטלגרם של גאדג’טי לעדכונים שוטפים בנושאים טכנולוגים ולערוץ גאדג’טי דיל למבצעים. תוכלו גם להירשם לעדכונים מאיתנו דרך ערוץ האינסטגרם הרשמי, עמוד החדשות של גוגל או בעמוד הפייסבוק.


*חלק מהפוסטים באתר כוללים קישורי תכניות שותפים, עבורם נקבל עמלה עם ביצוע רכישה בפועל של מוצרים. עמלה זו לא מייקרת את העלות הסופית של המוצרים עבורכם.

השוואת מפרטים