Компания GearBest, китайский онлайн-ритейлер, как оказалось, хранит данные своих клиентов совсем не так, как обещает. Исследователи компании vpnMentor опубликовали материал расследования, в котором обнаружилось, что:
– политика компании о конфиденциальности пользовательских данных не соответствует действительности
– в базе хранятся личные данные покупателей, включая имейл и пароли, которые никак не шифруются. Кроме этого, магазин хранит информацию, которая необязательна для хранения, как, например, IP-адрес
– в базе также хранятся платежные данные, в том числе и о виртуальных картах платежной системы из Бразилии, а также банковские данные пользователей.
Как это часто бывает, сервер Elasticsearch без пароля.
https://www.vpnmentor.com/blog/gearbest-hack/
https://techcrunch.com/2019/03/14/gearbest-orders-exposed/
https://vc.ru/trade/61307-hakery-nashli-uyazvimost-na-serverah-gearbest-vse-dannye-klientov-onlayn-magazina-hranyatsya-v-otkrytom-vide
PS Спасибо всем читателям, которые прислали мне ссылки на эту историю

2/3 антивирусных приложений для Android — обман
https://www.zdnet.com/article/two-thirds-of-all-android-antivirus-apps-are-frauds/

Adware (рекламное ПО) в сотнях приложений для Android, с общей суммой установок более 150 млн. Там все хорошо: вредоносное ПО, маскирующееся под рекламную сеть, закачивало через бэкдор дополнительный модуль, который прятал свою иконку и работал в фоне, загружаясь на старте приложения. А дальше показ рекламы в фоне с целью генерации фейковых просмотров.
https://www.documentcloud.org/documents/5766854-SimBad-AppList-Package.html

Я писал ранее на этой неделе о том, как недавно обнаружилась неприятная лажа с плохо настроенным сервером Box для общего доступа к файлам, из-за чего некоторые компании случайно сделали доступными свои файлы, в том числе и конфиденциальные. Так вот, Box выкатил тут полезные изменения, которые должны будут в будущем предотвратить подобные лажи:
https://blog.box.com/blog/improvements-sharing-securely-box