15 mar. 2019

Divulgación masiva de datos en GearBest (cambia tu Pass!)

Hoy se ha revelado una vulnerabilidad en GearBest que pondría en peligro los datos almacenados de sus clientes. El reporte sobre la vulnerabilidad en una de las mayores plataformas de venta online del mundo ha sido revelado por vpnMentor y destapa la inseguridad del almacenamiento de la base de datos.

Gearbest se encuentra entre las 250 mayores webs del mundo y cuenta con clientes como Asus, Huawei, Intel o Lenovo. Además, la compañía dispone centros logísticos en varios países de Europa y es de suponer por lo tanto, que la compañía haya violado la regulación europea de protección de datos (GDPR) y a corto plazo, podría enfrentarse a sanciones severas.
Como indican en TechCrunch, un servidor mal configurado de la empresa asiática ha provocado que millones de datos de usuarios y clientes se hayan estado filtrando en Internet desde hace semanas. Tan mal configurado estaba, que ni siquiera estaba protegido con contraseña. vpnMentor descubrió que la base de datos completa está desprotegida y en su mayoría no cifrada. La empresa utiliza una base de datos de Elasticsearch, a la cual pudieron acceder.

¿A qué pueden tener acceso si explotan la vulnerabilidad en GearBest?

El agujero de la compañía china es bastante amplio y pondría en peligro la vasta base de datos. Según los reportes publicados en la citada web se tendría acceso directo a:
  1. La base de datos de los pedidos: estos datos incluyen el producto como tal que hemos pedido, la dirección de envío con código postal, el nombre del comprador, su correo electrónico y el número de teléfono.
  2. La base de datos de los métodos de pagos: incluyendo el número de pedido, el método de pago, información del pago, dirección de email y la dirección IP.
  3. La base de datos de los usuarios: pueden acceder al nombre, dirección, fecha de nacimiento, número de teléfono, dirección de email, dirección IP, número de identificación (DNI o pasaporte) y la contraseña.
La combinación de las tres bases de datos pondría en un peligro grave toda la información personal y, de confirmarse, acarrearía multas millonarias para la compañía china.

Además de tener acceso a la base de datos de GearBest, existe información almacenada en ella que no cuenta con ningún tipo de cifrado. Esto es especialmente sensible pues, según han publicado, han podido acceder sin mayor problema a un par de cuentas introduciendo el email y la contraseña como si del usuario se tratase.
La vulnerabilidad de GearBest puede incluso suponer problemas reales en las vidas de algunos de sus usuarios. Algunos de los productos que puedes encontrar en GearBest pueden ser utilizados por los gobiernos de algunos países para acusar a sus conciudadanos de homosexualidad.

Países donde esta elección personal está penada incluso con la muerte. De hacerse pública la lista de nombres relacionándola con los pedidos realizados por cada uno puede acarrear peligro físico y consecuencias fatales para muchas personas tal y como informan en la web vpnMentor.

Al parecer, habrían accedido a un pedido en concreto de un juguete erótico de un ciudadano de Pakistán. País donde la homosexualidad está penada duramente y que podría tener acceso a la base de datos si se difunde o logran explotar la vulnerabilidad de GearBest.

Tras la detección de la vulnerabilidad en GearBest, lo único que podemos recomendar si formas parte de sus clientes es cambiar la contraseña por si la lista se termina filtrando y, a poder ser, andarse con mucho ojo ante posibles compras fraudulentas con nuestros datos.

Fuente: vpnMentor

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!