Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/03/2019
Fuga massiva d'informació en Gearbest
Un dels llocs web de venda en línia de tecnologia i articles xinesos amb més usuaris del món ha patit una fugida de dades d'usuari que afecta pràcticament la totalitat d'aquests.
Des del lloc web vpnmentor reporten que des del seu equip d'investigació han aconseguit accedir a la base de dades big data del gegant de vendes online xinés Gearbest, exposant quasi la totalitat de les dades que emmagatzemaven sobre els usuaris.
Entre altres dades han aconseguit obtindre l'adreça IP, nom, adreça, document identificatiu, mètode de pagament i la llista de comandes realitzades.
L'emmagatzematge per la seua part de l'adreça IP del client contravé la política de privacitat que Gearbest exposa en el seu lloc web, i també s'ha detectat que l'emmagatzematge de les contrasenyes no estava xifrat.
S'han aconseguit accedir a dades bancàries sensibles de clients de serveis bancaris del Brasil i Mèxic, així com a obtindre números de compte de molts clients.
També s'ha aconseguit informació explícita de clients que estan realitzant compres de joguets sexuals que es consideren il·legals als països d'enviament, per tant existiria la possibilitat de realitzar extorsió als usuaris amb aquesta informació.
Finalment s'ha aconseguit accés al panell d'administració de la base de dades, podent realitzar qualsevol tipus d'operació sense restriccions, siga eliminar o modificar les dades o realitzar canvis en l'àmbit d'infraestructura.
Recomanem encaridament canviar la contrasenya del lloc web i revisar si té mètodes de pagament emmagatzemats per a eliminar-los al més prompte possible.