Dėl baltųjų skrybėlių įsilaužėlių tyrimo grupės 2019 m. kovo 15 d vpnMentor Noama Rotem dėl tinkamos mūsų klientų asmens duomenų ir sandorių duomenų apsaugos trūkumo internetinėje parduotuvėje Gearbest.com, Gearbest komanda skelbia oficialų atsakymą į esamą situaciją.
Gearbest saugumo departamentas:
„2019 m. kovo 15 d. mūsų duomenų apsaugos komanda nustatė, kad įsilaužėlis, vardu Noamas Rotemas, paskelbė svetainėje www.vpnmentor.com pranešimą, kad „Gearbest“ klientų asmeninių ir operacijų duomenų (toliau – Duomenys) duomenų bazės nėra tinkamai apsaugotos ir gali būti pažeistos. Taip pat buvo atliktas žiniasklaidos reakcijos į esamą situaciją tyrimas.
Tą pačią dieną mūsų saugumo ekspertai pradėjo tyrimą dėl pono Noamo Rotemo kaltinimų, kurių rezultatas – buvo atrasta, kad nemažai išorinių laikino duomenų saugojimo įrankių gali būti prieinami trečiosioms šalims ir gali būti susikompromitavo.
Tuo pačiu metu didžioji dalis duomenų yra apsaugoti visomis būtinomis saugumo priemonėmis, įskaitant kelių lygių šifravimą. Šiuo atžvilgiu „Gearbest“ klientai gali saugiai toliau apsipirkti mūsų internetinėje parduotuvėje ir aktyviai dalyvauti
dabartinis pardavimas.Šie įrankiai skirti padidinti efektyvumą ir sumažinti pagrindinės resurso serverio dalies apkrovą. Dėl savo paskirties saugojimo duomenys naudojami ne ilgiau kaip 3 kalendorines dienas, po to automatiškai sunaikinami.
Galima saugumo pažeidimo priežastis – vieno iš darbuotojų pašalinus standartinę apsaugą laikinam išoriniam saugojimui saugos tarnybos, vykusios 2019 m. kovo 1 d., kurios leido nuskenuoti duomenis ir juos pasiekti be papildomų veiksmų autentifikavimas. To įvykio priežastys ir faktai nustatinėjami.
Dabar nustatyta, kad konfidencialumas galėjo būti pažeistas dėl saugumo pažeidimo. naujų sąskaitų (registruotų klientų) duomenys ir nuolatinių klientų užsakymų duomenys, jei laikotarpį nuo 2019 m. kovo 1 d. iki 2019 m. kovo 15 d buvo užregistruota sąskaita arba buvo atliktas pirkimas internetinėje parduotuvėje. Iš viso, maždaug 280 000 žmonių.
Pažeidimas buvo ištaisytas per 2 valandas iš karto po aptikimo.
Atsižvelgiant į galimus duomenų saugumo pažeidimus, buvo atliktas papildomas darbas siekiant padidinti visapusiškumo laipsnį tinklo apsauga, kad būtų išvengta neteisėtos prieigos, įskaitant kenkėjiškus bandymus nuskaityti iš išorės trečiosios šalys.
Dėl incidento bus imtasi skubių priemonių deaktyvuoti naujų registruotų klientų slaptažodžius, kad būtų išvengta neteisėtos prieigos prie paskyrų. Visiems nukentėjusiems klientams bus išsiųsti laiškai su reikiamomis instrukcijomis ir informacija apie situaciją.
„Gearbest“ komanda papildomai dirbs su asmens duomenų saugumu ir padarys viską, kad mūsų brangiems klientams sukurtų saugią apsipirkimo aplinką.
Daugiau informacijos ir atnaujinimų rasite Gearbest Facebook puslapyje.
P.S. Siekdama padidinti vartotojų lojalumą, „Gearbest“ toliau mažina kainas vykstantis pardavimas internetinės parduotuvės 5-mečio garbei.
