Данные российских клиентов JD.com утекли в Сеть

Пользователь ресурса geektimes.ru обнаружил, что известный китайский интернет-магазин JD.com случайно скомпрометировал конфиденциальные данные своих российских клиентов, сообщает Новостная служба «Лаборатории Касперского»

Недавно интернет-магазин JD.com объявил о купонной распродаже, которая оказалась настолько популярной среди любителей трансграничных покупок, что портал попросту перестал справляться с наплывом запросов. Купоны распространялись в геометрической прогрессии: если один пользователь делился кодом с другим пользователем, последний при регистрации тоже получал купон и мог приглашать других пользователей. Учитывая величину скидки, желающих воспользоваться щедростью китайского интернет-магазина было много.

Но, несмотря на досадную новость о досрочном прекращении акции, пользователей ждала еще более неприятная неожиданность. В системе JD.com обнаружилась брешь, из-за которой переход по обычной ссылке мог открыть доступ к чужим заказам и, соответственно, к персональным данным, включая настоящее имя и актуальные адрес и телефон.

«Простейшим скриптом в несколько строк с перебором номера заказа из ссылки можно выгрузить базу из сотен тысяч российских клиентов JD.com! Это эпический провал. Не сомневаюсь, что кто-то это уже сделал и завтра можно будет купить или загрузить актуальнейшую базу платежеспособных клиентов с полными контактными данными», — пишет автор блога на Geektimes под ником Kyrie1965. Как предостерегает блогер, при появлении базы клиентов JD.com онлайн SMS-мошенников долго ждать не придется. Как выяснилось позже, база данных уже обнаружилась в открытом доступе.

На момент написания статьи представители JD.com опубликовали официальный комментарий, в котором обвинили в происшествии DDoS-атаку (хотя, учитывая наплыв клиентов на сайт, это весьма удобное объяснение) и «происки конкурентов», якобы желающих сорвать сезонные распродажи. Но, как иронизирует Kyrie1965, это не отменяет того факта, что дыра в системе JD.com все-таки была и остается незакрытой.

Спустя сутки JD.com не прояснил свою позицию и не признал факт наличия уязвимости. Есть сведения, что жалоба на ресурс уже отправлена в Роскомнадзор.