La base de données des comptes, adresses, commandes et informations de paiement de Gearbest n'aurait pas été sécurisée

Gearbest est un portail de commerce électronique spécialisé dans les produits chinois. Nous avons mentionné Gearbest dans le passé, principalement comme moyen d’acheter et d’importer des smartphones Android de Chine vers des pays où ils ne sont pas officiellement vendus par le constructeur. Si vous avez déjà utilisé Gearbest par le passé, il est impératif que vous connaissiez une faille de sécurité récente dans la base de données de Gearbest découverte par le pirate White Hat Noam Rotem et l’équipe de VPNMentor.

Plusieurs parties différentes de la base de données de Gearbest se sont avérées totalement non sécurisées, les pirates pouvant accéder aux bases de données relatives aux commandes, aux paiements, aux factures et aux données des membres. Ces bases de données ont été consultées en mars 2019 et plus de 1,5 million d'enregistrements ont été découverts exposés. Alors que Gearbest affirme dans sa politique de confidentialité que les informations utilisateur collectées sont stockées sous une forme cryptée, les pirates informatiques ont constaté que cette revendication était catégoriquement fausse en tant qu’information personnellement identifiable, allant des adresses IP à l’adresse de numéro d'identification, détails de paiement, historique des commandes, etc. Il va sans dire que cette atteinte à la sécurité des données constitue l’un des pires scénarios pour un portail de commerce électronique, détruisant complètement la confiance. En tant que tel, il est prudent que les utilisateurs réévaluent leurs relations avec le site Web.

Comme le piratage faisait partie d'un projet de piratage éthique, les pirates ont contacté à plusieurs reprises Gearbest ainsi que son entité mère, Globalegrow, pour les informer de la violation et les avertir plusieurs jours à l'avance. Cependant, il n’ya pas eu de réponse de leur part au moment de la publication du rapport. Une fois que AndroidPolice a publié leur article sur le même sujet, Gearbest les a contactés avec une déclaration reproduite ci-dessous:

Immédiatement après avoir été informés de cet incident, nos experts en sécurité ont ouvert une enquête pour vérifier les allégations de M. Noam Rotem. Bien que nous ayons constaté que toutes nos bases de données ou serveurs établis utilisés pour le stockage ou le traitement des données sont protégés avec toutes les mesures de cryptage nécessaires et sont absolument sûrs, certains des outils externes que nous utilisons pour stocker temporairement les données peuvent avoir été consultés par d'autres utilisateurs et, partant, la sécurité des données. peut avoir été compromis.

Les outils externes que nous utilisons sont destinés à améliorer l'efficacité et à éviter la surcharge des données. Les données ne seront stockées dans ces outils que pendant moins de 3 jours calendaires avant d'être détruites automatiquement. En tenant compte d'éventuelles violations de la sécurité des données, nous avons protégé ces outils à l'aide de puissants pare-feu afin d'éviter que de telles données ne soient compromises par des analyses malveillantes effectuées par d'autres. Cependant, notre enquête révèle que le 1er mars 2019, l'un des membres de notre équipe de sécurité a retiré ce pare-feu par erreur pour des raisons qui faisaient encore l'objet d'une enquête. Un tel statut non protégé a directement exposé ces outils pour numériser et accéder sans autre authentification.

Actuellement, nous pensons que cela a pu affecter nos nouveaux clients enregistrés ainsi que nos anciens clients qui ont passé des commandes auprès de Gearbest entre le 1er et le 15 mars 2019, pour un total d'environ 280 000. Heureusement, nous avons réparé l'irrégularité dans les deux heures qui ont suivi sa détection et nous renforcerons encore notre gestion de la sécurité interne afin d'éviter qu'un tel incident ne se reproduise.

Nous nous excusons sincèrement pour ce qui est arrivé. En plus de ce que nous avons fait ci-dessus, nous allons prendre d’urgence des mesures pour inactiver les mots de passe des clients nouvellement enregistrés afin d’éviter toute connexion illégale à leurs comptes et envoyer un courrier électronique à tous les clients concernés pour mettre à jour la situation.

Si vous avez un compte Gearbest, il serait sage de changer votre mot de passe, à tout le moins, même si vous n'avez pas reçu d'e-mail pour le même. Il serait également sage d’envisager des alternatives pour les transactions futures.


Source: VPNMentor
Histoire via: AndroidPolice

Vous voulez plus d'articles comme celui-ci dans votre boîte de réception? Entrez votre email pour vous abonner à notre newsletter.

Tags

Leave a Reply

Your e-mail address will not be published. Required fields are marked *

Close
Close