Gearbestの公式発表

　(主に海外で)騒動になっているにもかかわらず、当事者であるGearBestのサイトには、本件について説明する表記やページは特に見当たりません(2017/12/23時点)。

　が、Facebookに以下のコメントが投稿されています。
GearBest - Dear Valued Customers, We kindly bring your... | Facebook

Dear Valued Customers,

We kindly bring your attention to the fact that some unidentified hackers gained large amounts of personal data from other websites and are trying to use this data to deceptively sign into Gearbest. Immediately after identifying this irregularity, we have frozen a few hundred affected accounts and updated our IT system for suspicious IPs. The situation is completely under control.

However, for your personal account security, we kindly recommend that you change your password if you feel that it is too simple (password with a combination of letters, numbers and symbols are considered to be more complex). At the same time, we also recommend that you do not use the same email address and password on different websites.

We will always be 100% committed to maintain our website as a safe and reliable place for your guaranteed shopping experience.

If you have any queries or may need any assistance, please contact our Support Team

Yours Sincerely

Gearbest.com

Security Update ：For your safety and security we have added a new verification code system for all customers when logging into Gearbest.

　上記投稿を適当に意訳すると以下のような感じになると思います。

お客様へ

まだ特定されていないハッカーによって大量の個人情報が他のウェブサイトから収集され、その情報を使ってGearbestへのログインが試みられているという事案について、注意喚起させていただきます。この異常を検知してから、弊社は影響を受けた数百のアカウントを凍結し、弊社の情報システムを疑わしいIPsのために更新しました(※訳注: リスト型攻撃を仕掛けてきた元のIPアドレスをブロックしたとかそんな意味だと思われる)。状況は完全に制御できています。

しかしながら、お客様の個人アカウントのセキュリティのため、あまりにも単純なパスワードをお使いの場合は変更することをお勧めします(文字、数字、記号を組み合わせたパスワードの方が複雑だと考えられます)。それと同時に、他のウェブサイトで同一のメールアドレスとパスワードを利用しないこともお勧めいたします。

お客様が安全にお買い物できる場所として、弊社のウェブサイトを安全かつ信頼できるよう維持することに、弊社は常に100%注力しています。

もし疑問や手助けが必要でしたら、弊社のサポートチームにコンタクトしてください。

敬具

セキュリティ更新：セキュリティ対策とお客様の安全のため、Gearbestへのログイン時に新たな認証コードシステムを全てのお客様に追加しました。

　

結局何が起きたのか

　公式に開示されている情報が少なすぎるため、何が起きたのか正直なところよく判りません。
　
　真偽は検証できませんが、冒頭にリンクを張ったRedditや4chanの情報によれば、PastebinにGearbestのアカウント情報と思われる情報が平文で大量に掲載されていた模様です。
　試しに*1アカウント情報が本物かログインしてみたらとりあえず20以上のアカウントでログインできたという人が居たり、知らないうちに商品を購入していたという人も居るようです。
　
　Pastebinにアカウント情報が流出していることを発見した人がGearbestに通報した際のやり取りとされる画像も公開されていますが、Gearbest側の稚拙な対応*2が目に付く内容となっています。

View post on imgur.com

imgur.com
　
　他にもGearbestのモバイルアプリに脆弱性があると以前から指摘されているとか、モバイルアプリそのものではなくアプリが叩くAPIそのものに脆弱性が有るだとか書かれています。(今回のアカウント情報の流出とは別に)PastebinにGearbestのモバイルアプリのソースコードらしきものも掲載(流出？)されており、確かにそのソースコード中にはセキュリティトークンのような文字列がベタ書きされているのも見て取れます。
　

　Gearbestからの正式な発表は前述のFacebook以外にありませんが、そのFacebookの投稿に対してのユーザからのコメントに回答する形でいくつかの情報が明らかになっていますので、引用しつつ適当に意訳します。

• 流出した顧客には連絡済らしい

Thank you for your attention to this issue. Kindly note that this issue is under control and that our IT team work very hard to ensure our customers saftey. As such we have notified our customers right away and offered advice to those affected.

この問題に関心を持っていただきありがとうございます。この問題は統制できており、弊社のITチームは顧客の安全性を確保するために全力を尽くしています。影響を受けた顧客には通知し、アドバイスしたところです(※訳注: 通知手段は明示されていないがGearbestのアカウントに登録している連絡先情報なら電子メール(または電話)と思われる。このGearbestのコメントを信用するならば、メールや電話がなければ流出していないと考えて良さそう。)。

Kindly note that any accounts that were affected by this issue have been frozen and those affected have been contacted directly via our Support Center to update their passwords and update often.

この問題で影響を受けたアカウントは凍結され、対象者には弊社のサポートセンターからパスワードを更新としばしば更新するように直接連絡を行った。

• 流出元はGearbestではないらしい

Kindly note that information has not been leaked from Gearbest directly and that we kindly recommend customers to use strong passwords and enforce their own personal online safety when they are online and update often.

情報はGearbestから直接流出したのではありませんが、強力なパスワードを使用しつつ、しばしば更新することでオンライン上の個人情報の安全性を確実にすることをお勧めします(訳注: 要するにGearbestがリスト型攻撃の被害を受けたという意味だと思われる)。

　

ユーザが採るべき対応

　GearBestのコメントを信じるなら、何も連絡が無ければ今回流出したアカウントではないということになりますので、特に何もしなくても問題ないのかもしれません。
　ですがアカウントをお持ちの方は念のためパスワード変更を行っておく方が無難でしょう。当然ですが、そのパスワードは他のサイトと同じものにしてはいけません。