Ogromny wyciek danych ze sklepu Gearbest. Chińczycy nie zabezpieczyli serwera hasłem
Gearbest to jeden z najbardziej znanych sklepów internetowych z elektroniką użytkową i międzynarodową klientelą. Niestety, pomimo ogromnej popularności, właściciele nadal lekceważą kwestie związane z bezpieczeństwem.
Piszę nadal, ponieważ nie jest to pierwszy wyciek danych użytkowników portalu Gearbest. Pierwszy masowy wyciek danych, o którym informowały media miał miejsce w grudniu 2017 r. Administracja platformy Gearbest zbytnio się nim jednak nie przejęła. Powiem nawet więcej: osoba (lub osoby) odpowiedzialna za bezpieczeństwo danych użytkowników tego sklepu, mają tę kwestię w głębokim poważaniu.
Masowy wyciek danych ze sklepu Gearbest
Jak bowiem inaczej wytłumaczyć fakt, że serwer Elasticsearch, na którym przechowywane są dane klientów chińskiego sklepu nie był nawet chroniony hasłem?
W związku z tym z od 7 marca br. wyciekają dane milionów użytkowników. Wśród nich znajdują się imiona i nazwiska posiadaczy kont, ich adresy e-mail, numery telefonów, historia zamówień oraz płatności. Niektóre rekordy posiadają nawet numery paszportów oraz dowodów osobistych (ID). Nie jest to zbyt dobra wiadomość, szczególnie, że według strony haveibeenpwnd moje dane zapisane na serwerze Gearbest też latają sobie po sieci. Całe szczęście, że nie podawałem tam numerów mojej karty kredytowej.
Jak zabezpieczyć się przed niespodziewanym wyciekiem danych?
Kamil Sadkowski, starszy analityk zagrożeń w ESET twierdzi z całą pewnością, że nie jest to ostatni tak duży wyciek danych użytkowników portali internetowych. Dlatego, żeby spać spokojnie, warto wykonać następujące kroki:
- Zmienić hasło do portalu, z którego wyciekły dane. Jeśli używaliśmy go w innych serwisach – natychmiast wygenerować dla każdego portalu silne, unikalne hasło składające się z dużych, małych liter, znaków specjalnych oraz cyfr (najlepiej za pomocą menadżera haseł).
- Sprawdzić, czy nasze dane wyciekły. Można to zrobić na portalu: www.haveibeenpwned.com
Do tego dodałbym jeszcze jeden punkt: nie podawać numeru swojej karty kredytowej, bezpośrednio w formularzu sklepu. O ile to oczywiście możliwe. W sieci jest wiele usług umożliwiających pośrednictwo w płatnościach. Dobrym pomysłem jest też wyrobienie sobie jakiejś karty prepaid, którą ładować będziemy na bieżąco środkami i płacić przy jej pomocy za złożone zamówienia. Tutaj bardzo dobrze sprawdza się np. Revolut.
