विषय
- लोकप्रिय इलेक्ट्रॉनिक्स रिटेलर गियरबेस्ट से संबंधित डेटाबेस को स्पष्ट रूप से फर्म द्वारा उजागर किया गया था।
- एक सफेद टोपी सुरक्षा दल ने दावा किया कि प्रवेश विवरण सहित 1.5 मिलियन से अधिक रिकॉर्ड सुलभ थे।
- गियरब्रेट ने तब से दावा किया है कि इस घटना के लिए तीसरे पक्ष के डेटा प्रबंधन उपकरण को दोषी ठहराया गया था।
गियरबेस्ट दुनिया के सबसे लोकप्रिय इलेक्ट्रॉनिक्स और स्मार्टफोन स्टोर में से एक है, जो चीन और उससे आगे के उदार उपकरणों की एक श्रृंखला प्रदान करता है। दुर्भाग्य से, ऐसा लगता है कि वेबसाइट अपनी उपयोगकर्ता जानकारी का पर्याप्त ध्यान नहीं रख रही थी।
VPNMentor (h / t) से एक सफेद टोपी सुरक्षा टीम: Android पुलिस) ने पाया कि गियरबेस्ट का उपयोगकर्ता डेटाबेस "पूरी तरह से असुरक्षित है।" टीम ने कहा कि उसके हैकर्स आदेश, भुगतान और सामान्य उपयोगकर्ता जानकारी से संबंधित विभिन्न डेटाबेस तक पहुंचने में सक्षम थे।
कथित जानकारी में कथित तौर पर नाम, आईडी नंबर, पासपोर्ट नंबर, ऑर्डर इतिहास, शिपिंग पते, भुगतान विवरण, ईमेल पते और पासवर्ड शामिल थे।
टीम ने दावा किया कि वह इस महीने की शुरुआत में इस जानकारी का उपयोग करने में सक्षम थी, यह कहते हुए कि उसने 1.5 मिलियन रिकॉर्ड की खोज की। इसके अलावा, टीम ने कहा कि उसने बार-बार गियरब्रेट और उसकी मूल कंपनी से संपर्क किया ताकि उन्हें ब्रीच के बारे में पता चल सके, लेकिन उन्हें कोई प्रतिक्रिया नहीं मिली।
गियरब्रीक ब्रीच बताते हैं
तब से ऑनलाइन रिटेलर ने एक बयान जारी किया है Android पुलिस, यह दावा करते हुए कि इसके अपने डेटाबेस और सर्वर "बिल्कुल सुरक्षित थे।" वेबसाइट ने हालांकि कहा कि तीसरे पक्ष के डेटा प्रबंधन उपकरण दूसरों द्वारा एक्सेस किए जा सकते हैं।
वेबसाइट ने बताया, "बाहरी फायरप्लेस का उपयोग दक्षता बढ़ाने और डेटा ओवरलोड को रोकने के लिए किया जाता है और डेटा केवल तीन कैलेंडर दिनों से कम समय के लिए ऐसे टूल में संग्रहीत किया जाएगा," यह बताते हुए कि यह "शक्तिशाली फायरवॉल" का उपयोग करता है इन उपकरणों की सुरक्षा के लिए।
"हालांकि, हमारी जांच से पता चलता है कि 1 मार्च 2019 को, इस तरह के फायरवॉल को गलती से हमारी सुरक्षा टीम के सदस्यों में से एक ने जांच के कारणों से लिया था। इस तरह की असुरक्षित स्थिति ने उन औजारों को सीधे प्रमाणीकरण के बिना स्कैन और एक्सेस करने के लिए उजागर कर दिया है। "
गियरबेस्ट का मानना है कि प्रभावित उपयोगकर्ता कुछ 280,000 उपयोगकर्ताओं तक सीमित हैं जिन्होंने 1 मार्च और 15 मार्च के बीच आइटम का आदेश दिया था। इसमें कहा गया है कि यह सभी प्रभावित उपयोगकर्ताओं को एक ईमेल भेजेगा, जबकि नए पंजीकृत उपयोगकर्ताओं के पासवर्ड को "निष्क्रिय" कर देगा।
यह पहली बार नहीं है कि गियरबेस्ट इस तरह की स्थिति में पकड़ा गया है, जैसा कि लगभग 150 उपयोगकर्ता रिकॉर्ड पहले दिसंबर 2017 में इंटरनेट पर हिट करते थे। इस घटना के समय, वेबसाइट ने कहा कि यह संभावना थी कि हैकर्स ने उपयोगकर्ता लॉगिन जानकारी खरीदी या अधिग्रहित की थी। अन्य वेबसाइटें और गियरब्रेट खातों में प्रवेश करने के लिए बोली में उन विवरणों का उपयोग कर रही थीं।
