Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/03/2019
Fuga masiva de información en Gearbest
Uno de los sitios web de venta online de tecnología y artículos chinos con más usuarios del mundo ha sufrido una fuga de datos de usuario que afecta prácticamente la totalidad de los mismos.
Desde el sitio web vpnmentor reportan que desde su equipo de investigación han conseguido acceder a la base de datos big data del gigante de ventas online chino Gearbest, exponiendo en claro casi la totalidad de los datos que almacenaban sobre los usuarios.
Entre otros datos han conseguido obtener la dirección IP, nombre, dirección, documento identificativo, método de pago y la lista de pedidos realizados.
El almacenamiento por su parte de la dirección IP del cliente contraviene la política de privacidad que Gearbest expone en su sitio web, así como también se ha detectado que el almacenamiento de las contraseñas no estaba cifrado.
Se han conseguido acceder a datos bancarios sensibles de clientes de servicios bancarios de Brasil y México, así como a obtener números de cuenta de cantidad de clientes.
También se ha conseguido información explícita de clientes que están realizando compras de juguetes sexuales que se consideran ilegales en los países de envío, por tanto existiría la posibilidad de realizar extorsión a los usuarios con esta información.
Finalmente se ha conseguido acceso al panel de administración de la base de datos, pudiendo realizar cualquier tipo de operación sin restricciones, ya sea eliminar o modificar los datos o realizar cambios a nivel de infraestructura.
Recomendamos encarecidamente cambiar la contraseña del sitio web y revisar si tiene métodos de pago almacenados para eliminarlos lo antes posible.