Rapor - Gearbest Hack: Günlük Yüz Binlerce İnsan Büyük Veri İhlalilinden Etkilendi

İyi niyetli hacker ve aktivist Noam Rotem önderliğinde, VPNMentor’ın araştırma ekibi, Gerbest’te temel bir güvenlik ihlali keşfetti.

Her gün yüz binlerce satışıyla, Gearbest, çok başarılı bir Çin e-ticaret şirketidir.

Site, geniş kapsamda elektronik ve cihazlar sattığı gibi, giyim, aksesuar, ve ev eşyaları da satmaktadır. OnePlus gibi bazı uluslararası tanınmış markalar da satsa da, genellikle sattıkları daha küçük Çin markalarıdır.

Dünya üzerinde 250’den fazla ülkeye ve bölgeye gönderim yapmaktadır, ve bu bölgelerin neredeyse %30’unde ilk 100’de yer almaktadır. Gearbest’in, küresel çekicilik oluşturmak amacıyla, 18 dilde alt alanı bulunmaktadır.

Gearbest’in sahibi, Çin holding, Globalegrow’dur. Ana şirket, Zaful, Rosegal, ve DressLily dahil olmak üzere çeşitli uluslararası başarılı siteler işletmektedir. 2015’te, satışları 550 milyon $’a ulaşmış; 2017’de şirket 1.48 milyar $’lık ciro yapmıştır.

Şirketin bu hızlı başarısı, Gearbest ve diğer kardeş şirketleri için bir zafer olmuştur. Ancak, bu, sitenin müşterileri için o kadar da iyi bir haber olmamıştır.

vpnMentor, Gearbest’in veritabanının tamamen güvensiz olduğunu – bununla beraber kardeş şirketlerininkini de açığa çıkarmıştır.

Gearbest Veri İhlali

Hackerlarımız, aşağıdakiler dahil olmak üzere Gearbest’in veritabanının farklı bölümlerine erişim sağlamıştır:

• Sipariş veritabanı
  Verilerin arasında, satın alınan ürünler; gönderim adresi ve posta kodu; müşteri ismi; eposta adresi; telefon numarası bulunmaktadır
• Ödemeler ve faturalar veritabanı
  Verilerin arasında, sipariş numarası; ödeme türü; ödeme bilgisi; eposta adresi; isim; IP adresi bulunmaktadır
• Üye veritabanı
  Verielrin arasında, isim; adres; doğum tarihi; telefon numarası; eposta adresi; IP adresi; kimlik ve pasaport bilgisi; hesap şifreleri bulunmaktadır

Bu veritabanlarına Mart 2019’ta eriştik, ve 1.5+ milyon kayıt bulduk.

Gearbest’in veritabanı sadece güvensiz değil. Aynı zamanda, sürekli-güncellenen taze veri tedarikiyle potansiyel kötü niyetli casuslar sağlıyor.

Güvenlik Sorunları

Milyonlarca kullanıcının, kişisel olarak tanımlanabilir bilgilerinin tamamına erişebilmemizin yanında, Gearbest’in veri ihlali, çeşitli diğer ciddi sorunları daha ortaya çıkarıyor.

Kullanıcı Gizliliği

Gearbest’in Gizlilik Politikası, kullanıcı bilgisi topladıklarını belirtirken, bunu sadece müşterilerine hizmet etmeye odaklanmak için yaptıklarını yazmaktadır.

Kullanıcı politikası aynı zamanda, kullanıcıların kendi şifrelerinden sorumlu olduklarını belirtirken,müşterileri korumak için hassas bilgileri şifrelediklerini ve harici doğrulama yazılımı kullandıklarını da söylemektedir.

Hack sonucunda görüntülenen veriler, bunun gerçek olmadığını gösteriyor. Eposta adresleri ve şifreler dahil olmak üzere – birçok hassas bilgi gördük. Bunların hiçbiri şifrelenmemişti.

Buna ek olarak, veritabanı, bir e-ticaret mağazasının görevlerini yerine getirirken ihtiyacı olmayan büyük miktarlarda kişisel olarak tanımlanabilir bilgi içeriyordu. Mesela, gönderim adresi, siparişleri yerine getirebilmek için gereklidir. Bir IP adresi değildir.

Gearbest, kendi gizlilik politikalarını ihlal ediyor gibi görünüyor. Ancak, kullanıcı gizliliği konusundaki en belirgin risk bu değildir.

Kullanıcı Güvenliği

Kişisel bilgilerle dolu açık bir veritabanı, kullanıcılaın online güvenliğinden taviz verebilir. Gördüğümüz kayıtlar, eposta adresleri ve şifreler dahil olmak üzere tam set şifrelenmemiş verileri gösteriyordu.

(Bazı eposta adreslerinin hashing içerdiğini not etmekte fayda vardır. Bunun kasıtlı olarak mı yapıldığını ve her yerde çıkması mı gerektiğini yoksa verilerinin bazıları tahribata mı uğramıştı bilmiyoruz. Hackerlarımız, bunun kısmi olarak uygulanan ve fonksiyonunu yerine getirmeyen bir güvenlik önlemi olduğuna inanıyor.)

Aşağıdaki ekran görüntüsü, veritabanından aldığımız iki set kullanıcı verisinden bölümler gösteriyor.

Bu iki Gearbest hesabına girmeyi başardık ve kulalnıcıymış gibi kullanabildik. Mevcut ve geçmiş siparişleri, toplanan Gearbest puanlarını görmeyi ve hesap şifresi ve detaylarını değiştirmeyi başardık.

Hackerlar, bu bilgiyi “yerel” hasar yaratmak için kullanabilirler: eposta ve şifreleri kullanarak kullanıcı hesaplarına erişerek, kullanıcı siparişlerini değiştirebilir, hesap detaylarını manipule edebilir ve kaydedilen ödeme metodlarıyla para harcayabilirler.

Ancak, bu bilgiler çok daha kötü bir şekilde de kullanılabilir. Farklı veritabanlarını çapraz kullanarak, hackerlar kolayca Gearbest’in müşteri kimliklerini çalabilirler.

Aşağıda görüldüğü üzere, Üye veritabanı, bu kullanıcının IP adresini, tam posta adresini, eposta adresini, doğum tarihini, ve de en endişe verici olarak ulusal kimlik numaralarını içeriyor.

Ülkeye ve gerekliliklerine göre, bu bilgiler, hackerların, online devlet portallarına, bankacılık uygulamalarına, sağlık sigortası kayıtlarına, ve daha fazlasına erişmeleri için yeterli olabilir.

Ödeme Detayları

Ödemeler ve Faturalar veritabanını incelerken, “Boleto” teriminin, özellikle Brezilya siparişlerinde birden çok göz göründüğünü farkettik (Brezilya hesapları, Gearbest’in küresel trafiğinin %9.2’sini oluşturuyor).

Bu, Brezilya Bankalar Federasyonu tarafından düzenlenen bir ödeme metodu olan Boleto Bancario’yu (tam anlamıyla, “Banka Bileti”), ifade ediyor.

Bu, Meksika’da kullanılan Oxxo ödeme sistemine benzer bisr sistem. Oxxo, kullanıcıların, bir bankamatik kartı gibi şif oluşturmalarına izin veriyor: kullanıcılar seçtikleri miktarı yüklüyor, ve bakiyeyi harcayabiliyorlar. Her fiş, eşsiz bir barkod içeriyor; bu, kullanıcıların, paralarına erişebilmesini sağlıyor.

Erişim sağladığımız veritabanında, bu metodlardan birini kullanarak yapılan ödemelerde “ebanx.” URL’si vardı. Bu bağlantılar, nakit miktarlarıyla birlikte, kullanılan aktif fişleri gösteriyordu. Veri, Oxxo ve Boleto fişlerinin eşsiz barkodlarını da içeriyordu; bu bilgi, hackarların, kullanıcılar gibi davranmasına izin veriyor. Aynı zamanda bankacılık bilgileri dahil olmak üzere, müşteri faturalarına da erişebilmeyi başardık.

Sipariş Detayları: Seks Oyuncağı Skandalı

İnsanların siparişlerinin tam içeriği, Siparişler veritabanında görünürdür. Kullanıcı adı ve gönderim adresinin yanında her eşyanın görünüşü, rengi, boyutu, ve fiyatı görüntülenebilir.

Bu korunmayan veritabanlarında mevcut diğer bilgilerle karşılaştırıldığında, bu şok edici olmayabilir. Ancak, bazı insanların siparişleri çok daha ifşa edici olmuştur – ve bazı durumlarda hayatlarını tehlikeye atmıştır.

Gearbest’in “Satışlar” bölümünün “Giyecekler” kategorisinde, kullanıcılar, geniş yelpazede seks oyuncakları bulabilirler. Mağazanın açık veritabanı mizacından dolayı, özel satın alımınızın detayları, hızlı açık hale gelebilir.

Dünya çapında birçok yetişkin için, seks oyuncakları satın almak sorun değildir. Mesela, aşağıdaki resimde gösterilen siparişler, Brezilya ve Yunanistan’dan insanlara ait.

Bu ülkelerin, cinsellik ve homoseksüelliğe karşı oldukça hoşgörülü kanunları var. Bu bağlamda, Brezilya, dünyanın en büyük Pride etkinliğine ev sahipliği yapıyor, ve Yunanistan’da aynı cinsiyetten ilişkiler, 1951’den beridir yasal. Bu siparişlerin içeriğinin kamuoyuna açılması, satın alan için utanç verici olabileceği gibi, bu bilgilerin yayınlanması hukuki sonuçlarda doğurabilir.

Ancak, her ülkede durum yukarıdaki gibi değildir. Veritabanını incelerken, erkek Pakistanlı bir kullanıcının siparişine denk geldik.

Bu müşteri, silikon dildo satın almıştı, aslına bakarsanız, veritabanının ileriki incelemelerinde aslında üç tane aldığı gözükmekteydi. Her satın alım, biraz daha farklı bir bilgi içeriyordu. Bu yüzden, sokak adresi, yukarıdaki resimde gözükmüyor.

Pakistan, birçok Batı ülkesinin duruma yaklaştığı gibi, duruma aynı liberal ölçüde yaklaşmıyor.

Ülkenin katı kanunları, zina ve evlilik öncesi cinsel ilişkinin hapis ve para cezasıyla cezalandırılabilecek suçlar olduğunu belirtiyor. Ülkenin dini kanunları da taşlama ya da işkenceyle ölüme izin veriyor.

LGBT hakları da sınırlıdır, ve aynı cezalar geçerlidir. LGBT topluluğu da, toplumsal fişlenme, hukuki koruma eksikliği, ve LGBT insanlarını reddeden ve İslami topluluktan müzdariptir.

Ayrıca kültürel olarak, satın alanın, bunu karısına almış olmasının da pek olası olmadığını not etmekte fayda vardır.

Bu kanunlar, Pakistanlı müşterimizi, Gearbest’in açık veritabanının neden çok tehlikeli olduğu konusunda temel örnek haline getiriyor. Basit bir arama, bize mişterinin tam ismini, eposta adresini, sokak adresini, ve IP adresini göstermiştir. Daha detaylı bir arama, muhtemelen bize doğum tarihini ve hesap şifresini göstererek, önceki siparişlerini görmemizi sağlayacaktır.

Bizler kötü niyetli kişiler değiliz ve bu (aşırı gizli) bilgileri, açık veritabanının tehlikelerinin altını çizmet için paylaşıyoruz. Başkalarının ise çok farklı niyetleri olabilir. Pakistan hükümetinin ellerinde bu bilgi, bu kullanıcı için ölüm cezası anlamına gelebilir.

Gearbest Kendine Nasıl Zarar Veriyor

Gearbest, milyonlarca kullanıcı verisi ifşa ediyor. Ancak, şirket, kendine de zarar veriyor.

Hacklerlarımız, bu zaafiyetlerin sadece kullanıcı veritabanlarında olmadığını keşfetmiştir. Aynı zamanda Gearbest’in – ve Globalegrow’un – Kafka sistemine URL erişimi de bulunmaktadır.

Kafka, büyük kuruluşların, sunucularının her birinden gönderilen site verisinin miktarını kontrol etmesine yardımcı olan bir veri yönetim programıdır. Bu, iki amaca hizmet eder: sunucu yüklenmesini önler ve etkinliği sağlar, ve şirketlerin büyük veriler toplamasına olanak verir.

Bu tür bir erişim, kötü niyetleri hackerların, bilgileri manipule etmesine, veritabanı özelliklerini yeniden atamasına, ve hatta şirketin sunucusunun bütün bölümlerini devre dışı bırakmasına olanak verir. Her sunucunun fonksiyonuna göre, bu, veri toplanımını, sipariş vermeyi, ve stock ve depo yönetimini aksatabilir.

Etik Hackleme

Bu ihlali, etik hackleme projesinin bir parçası olarak keşfettik. İyi tanınan, iyi niyetli bir aktivist ve hacker olan Noam Rotem’le birlikte Ran. L. ve ekibi, IP bloklamalarını ve veri sızıntıları için sistem deliklerini araştıram bir web tarama projesi yürütüyorlar.

Verileri oluşturarak, girerek ve tanımlayarak veritabanı sahiplerini doğruladılar.

Globalegrow’in veritabanının tamamının korunmadığını ve çoğunlukla şifrelenmemiş olduğunu keşfettiler.Şirket, özellikle URL kullanımı için tasarlanmamış olan, Elasticsearch veritabaınını kullanıyordu. Ancak, buna tarayıcıyla erişebildik ve dilediğimiz zaman tek bir indeksten 10,000’e kadar şemalar ifşa ederek URL arama kriterini manipüle etmeyi başardık.

Etik hackerlar olarak, güvenlik açıkları keşfettiğimizde internet sitelerine ulaşmak zorundayız. Bu özellikle, şirketin veri ihlali çok fazla insanı etkilediğinde geçerlidir – ve Gearbest olayında, sorun, her gün yüz binlerce insanı etkilemekteydi.

Bu etikler, aynı zamanda halka karşı taşıdığımız sorumluluğu da gösteriyor. Gearbest müşterileri, kullanıcılarını korumak için herhangi bir çaba sarfeteyen bir siteyi kullandıklarında, aldıkları risklerin farkında olmalıdırlar.

Birden çok kez olmak üzere hem Gearbest hem de Globalegrow’la, onları bu ihlalden haberdar etmek, ve bu raporu ne zaman yayınlayacağımızı bildirmek için iletişime geçtik. Birkaç günleri vardı.

Ancak, maalesef, sürekli olarak, bu şirketlerden, adım atıp, kullanıcılarını korumalarını isteme taleplerimiz başarısız oldu. Bu raporun yayınlanma tarihi itibariyle de henüz bir cevap almadık.

Geçmiş Raporlar

Son günlerde Dalil’in devasa bir veri ihlali yaşadığını ifşa ettik. Dalil, Suudi Arabistan’ın en büyük telefon rehberi uygulamasıdır, ve ihlal, 5 milyondan fazla kullanıcıyı etkilemiştir. Ayrıca,kullanıcıları izlemek için İran’da kullanılan sahte uygulamalar raporumuzu, ve Veri Gizliliği İstatistikleri Raporunu da okumak isteyebilirsiniz.

Lütfen bu raporu Facebook’ta paylaşın ya da tweetleyin.