Nós usamos cookies em nossos sites. Informações sobre cookies e sobre como você pode se opor ao uso de cookies a qualquer momento, ou encerrar seu uso, podem ser encontradas em Política de Privacidade.

Banco de dados da Gearbest é "completamente aberto e inseguro"

Banco de dados da Gearbest é "completamente aberto e inseguro"

A equipe de pesquisa do site VPNMentor publicou nesta quinta-feira um estarrecedor relatório sobre as práticas de segurança da Gearbest, um dos mais conhecidos sites de e-commerce chineses. Basicamente, a empresa está expondo informações confidenciais de mais de 1,5 milhões de consumidores.

A equipe conseguiu acessar o banco de dados de pedidos do site, que inclui “os produtos comprados, endereço de envio, nome do consumidor, endereço de e-mail e telefone” e também a base de dados de pagamentos, que inclui “números de pedido, forma de pagamento, informações de pagamento, endereço de e-mail, nome do cliente e endereço IP de seu computador”.

Screenshot from 2019 03 14 15 09 31
Gearbest é extremamente popular entre os fãs de "gadgets" chineses / © AndroidPIT

O banco de dados de membros do site também foi acessado, com informações como “nome, endereço, data de nascimento, número de telefone, endereço de e-mail, números de documentos de identidade e senhas das contas”. Para piorar, as senhas não estão criptografadas.

Prato cheio para criminosos

Com estas informações, é possível montar um perfil completo de cada consumidor do site, o que é uma mina de ouro para hackers mal-intencionados. De acordo com a equipe:

Os bancos de dados da Gearbest não são só inseguros. Eles estão oferecendo a agentes potencialmente maliciosos uma fonte fresca e constantemente atualizada de dados pessoais.

De posse das informações obtidas nos bancos de dados, a equipe do VPNMentor conseguiu se logar em duas contas do site e operá-las como se fossem os proprietários legítimos, visualizando pedidos atuais e passados, pontos acumulados e com a capacidade de modificar a senha e detalhes da conta. 

Analisando URLs encontradas no banco de dados, a equipe também conseguiu acessar boletos do EBANX, empresa que processa os pagamentos da Gearbest na América Latina, inclusive o Brasil. Eles continham informações detalhadas sobre pedidos, como valor e dados bancários.

Além de tudo isso, a equipe de hackers descobriu que a Gearbest viola os próprios termos de serviço. O site simplesmente não criptografa os dados do usuário, como promete, e armazena mais informações pessoais (como endereços IP) do que o necessário para operar a loja.

Hackers éticos

A equipe do VPNMentor é composta por hackers éticos ou “White Hat”, ou seja, dedicados à pesquisa de segurança. Como tais, ela tem por prática avisar os responsáveis pelos sites sobre as falhas de segurança encontradas, para que possam ser corrigidas, mas também de avisar ao público afetado sobre a existência dos problemas e e suas ramificações.

Segundo o relatório, tanto a Gearbest quanto sua empresa-mãe, a Globalegrow, foram avisadas repetidas vezes sobre a falha de segurança e sobre a publicação do relatório, com um prazo de vários dias para que pudessem se pronunciar. Entretanto, até o momento, os hackers da VPNMentor não receberam nenhuma resposta.

Você compra coisas na Gearbest?

Artigos recomendados

9 Comentários

Escreva um comentário:
Todas as mudanças foram salvas. Não há rascunhos salvos no seu aparelho.
Escreva um comentário:
Todas as mudanças foram salvas. Não há rascunhos salvos no seu aparelho.
Escreva um comentário:
Todas as mudanças foram salvas. Não há rascunhos salvos no seu aparelho.