Meer dan 1,5 miljoen klantgegevens van de online verkopers Gearbest, Zaful, Rosegal en DressLilly hebben geruime tijd op een onbeveiligde Elasticsearch server gestaan. Dat blijkt uit een gezamenlijk rapport van VPNMentor en beveiligingsonderzoeker Noam Rotem.
Een Elasticsearch server is een bedrijfsgerichte zoekmachine voor gestructureerde en ongestructureerde data, gebaseerd op het open source Apache Lucene-project. Het wordt meestal gebruikt voor log analytics, zoekopdrachten in grote teksten, security intelligence, zakelijke analytics en operational intelligence use cases.
Volgens het rapport ging het om gedetailleerde, niet-versleutelde informatie in de breedste zin van het woord. Denk dan aan bestellingen, betalingen, facturen, namen, adresgegevens, telefoonnummers, e-mailadressen, IP-adressen, geboortedatums, nationale identiteits- en paspoortinformatie, wachtwoorden en betalingsinformatie. Bovendien was ook zichtbaar welke producten besteld waren en bevatten sommige e-mailadressen hashing.
Gedeeltijke implementatie
Een ‘gedeeltelijk geïmplementeerde beveiligingsmaatregel die simpelweg zijn werk niet deed’, zou volgens het rapport de oorzaak zijn geweest. Onderzoekers slaagden erin toegang te krijgen alszijnde de orginele gebruiker van een tweetal Gearbest-accounts. Hierdoor was het mogelijk om bijvoorbeeld gebruikersbestellingen te wijzigen, accountdetails te manipuleren en geld te besteden via opgeslagen betalingsmethoden. Daarnaast kregen de onderzoekers ook toegang tot de Apache Kafka-installatie van Globalegrow. Het stond kwaadwillende hackers volgens het rapport vrij om informatie te manipuleren, database-eigenschappen opnieuw toe te wijzen en zelfs hele delen van de server van het bedrijf uit te schakelen.
Gearbest laat in een reactie weten na de melding direct een onderzoek te zijn gestart. Het bedrijf beweert dat de eigen databases en servers met alle noodzakelijke versleutelingsmethoden worden beschermd. Al zouden sommige externe hulpprogramma’s, die gebruikt worden om gegevens tijdelijk op te slaan, mogelijkerwijs toegankelijk zijn geweest voor onbevoegden.
Firewalls uitgeschakeld
Ook denkt Gearbest te weten waar de oorzaak van het probleem ligt: “Op 1 maart 2019 werden firewalls per ongeluk door een van onze leden van het veiligheidsteam uitgeschakeld om redenen die we nog onderzoeken. Een dergelijke onbeschermde status heeft die tools direct blootgelegd voor scannen en toegang zonder verdere authenticatie. Op dit moment zijn wij van mening dat dit van invloed kan zijn op onze nieuw geregistreerde klanten. Bovendien treft het ook oude klanten, die bestellingen hebben geplaatst in de periode van 1 maart 2019 tot 15 maart 2019. In totaal gaat het om ongeveer 280.000 klanten.”
“Het is waanzinnig, maar het komt vaker voor dan je zou denken”, zegt beveiligingsonderzoeker Rotem, die de blootgestelde server mede-ontdekte. Hij stelt dat wat Gearbest beweert verre van werkelijkheid is. “Zie je de datum waarop ze beweren dat de overtreding is begonnen, 1 maart 2019? Dat is niet accuraat. Het is niet eens in de buurt en het aantal klanten dat wordt blootgesteld? Nogmaals, verre van de realiteit.”
Controversieel
De betrokken merken zijn eigendom van Shenzhen Globalegrow E-commerce, een volgens Techrepublic controversiële verkoper van producten uit China. Zack Whittaker, verslaggever bij TechCrunch, stelt dat Gearbest in december 2017 ook al met een beveiligingsissue kampte, waarvoor uiteindelijk een compromis gesloten werd. Daarnaast deed BuzzFeed eerder in 2016 een onderzoek naar de overkoepelende organisatie, Globalegrow. Dit gebeurde na gebruikersklachten, dat de modemerken van het bedrijf consumenten regelmatig aanspoorden kleding rechtstreeks uit China te kopen. Ze gebruikten hiervoor afbeeldingen die gestolen zouden zijn van Instagram en andere sociale netwerkservices.
Lees ook: Rubrik lekte grote database met klantgegevens door beveiligingsprobleem