Пользователь ресурса geektimes.ru обнаружил, что известный китайский онлайн-маркетплейс JD.com случайно скомпрометировал конфиденциальные данные российских клиентов.
Недавно сайт объявил о купонной распродаже, которая оказалась настолько популярной среди любителей трансграничных покупок, что сайт попросту перестал справляться с наплывом запросов. Купоны распространялись в геометрической прогрессии: если один пользователь делился кодом с другим пользователем, последний при регистрации тоже получал купон и мог приглашать других пользователей. Учитывая величину скидки, желающих воспользоваться щедростью китайского маркетплейса было много.
Но, несмотря на досадную новость о досрочном прекращении акции, пользователей ждала еще более неприятная неожиданность. В системе JD.com обнаружилась брешь, из-за которой переход по обычной ссылке мог открыть доступ к чужим заказам и, соответственно, к персональным данным, включая настоящее имя и актуальные адрес и телефон.
"Простейшим скриптом в несколько строк с перебором номера заказа из ссылки можно выгрузить базу из сотен тысяч российских клиентов JD.com! Это эпический провал. Не сомневаюсь, что кто-то это уже сделал и завтра можно будет купить или загрузить актуальнейшую базу платежеспособных клиентов с полными контактными данными", — пишет автор блога на Geektimes под ником Kyrie1965. Как предостерегает блогер, при появлении базы клиентов JD.com онлайн SMS-мошенников долго ждать не придется. Как выяснилось позже, база данных уже обнаружилась в открытом доступе.
На момент написания статьи представители JD.com опубликовали официальный комментарий, в котором обвинили в происшествии DDoS-атаку (хотя, учитывая наплыв клиентов на сайт, это весьма удобное объяснение) и "происки конкурентов", якобы желающих сорвать сезонные распродажи. Но, как иронизирует Kyrie1965, это не отменяет того факта, что дыра в системе JD.com все-таки была и остается незакрытой.
Спустя сутки JD.com не прояснил свою позицию и не признал факт наличия уязвимости. Есть сведения, что жалоба на ресурс уже отправлена в Роскомнадзор.