Servidor ElasticSearch de Gearbest filtra información completa de los usuarios

Servidor ElasticSearch de Gearbest filtra información completa de los usuarios

Gearbest, es un gigante chino de las compras en línea, ha expuesto a millones de perfiles de usuarios y pedidos de compras debido a un servidor mal configurado, según el investigador de seguridad Noam Rotem.

El investigador encontró el servidor de Elasticsearch que usa Gearbest filtra millones de registros cada semana, incluidos los datos de clientes, pedidos y registros de pagos.

El servidor no estaba protegido con una contraseña, lo que permitía a cualquier usuario realizar busquedas de datos

Rotem publicó detalles de la filtración en VPN Mentor. Los datos expuestos incluyen detalles de los productos comprados y la información de envío, más información de pago, direcciones de correo electrónico y otros datos del cliente, como fechas de nacimiento y contraseñas de las cuentas.

Gearbest almacena las claves sin cifrar

Política de Privacidad de Gearbest

La política de privacidad de Gearbest establece que, si bien recopilan información del usuario, tiene el propósito específico de servir un mejor contenido a sus clientes.

Esta política especifica que, si bien los usuarios son responsables de sus propias contraseñas, cifran la información confidencial y emplean un software de verificación externo para proteger a los clientes.

politica-seguridad-gearbest

Toda esta información fue almacenada sin cifrar (Gearbest incumpliendo su política de privacidad)

Rotem señala en su informe: "La base de datos de Gearbest no solo no está protegida. También brinda a los agentes potencialmente maliciosos un suministro de datos actualizados constantemente actualizado".

Lista de datos filtrados

  • Base de datos de pedidos: Los datos incluyen productos comprados, dirección de envío y código postal, nombre del cliente, dirección de correo electrónico y número de teléfono
  • Base de datos de pagos y facturas: Los datos incluyen el número de pedido, tipo de pago, información del pago, dirección de correo electrónico, nombre y dirección IP.
  • Base de datos de miembros: Los datos incluyen el nombre, dirección, fecha de nacimiento, número de teléfono, dirección de correo electrónico, Dirección IP, identificación nacional e información de pasaporte y contraseñas de la cuenta.

"El contenido de los pedidos de algunas personas ha demostrado ser muy revelador", dijo Rotem. Las órdenes expuestas no solo son una violación de la privacidad del cliente, sino que los datos expuestos pueden poner a los clientes en partes del mundo donde la libertad de expresión y expresión está limitada en peligro.

Algunos de los listados de juguetes sexuales y otras compras íntimas, por ejemplo, podrían llevar a repercusiones legales donde se prohíben las relaciones LGBTQ + o las relaciones sexuales prematrimoniales.

Expusto el sistema de gestión Kafka Manager de Gearbest

Rotem también encontró un sistema de gestión de bases de datos llamado Kafka Manager expuesto en la misma dirección IP, lo que permite a cualquier persona manipular o interrumpir las bases de datos operadas por la empresa matriz de Gearbest, Globalegrow.

kafka-manager-gearbest-expuesto

Kafka es un programa de administración de datos que ayuda a las grandes corporaciones a controlar la cantidad de datos del sitio enviados a través de cada uno de sus servidores. Esto sirve para dos propósitos: previene la sobrecarga del servidor y mantiene la eficiencia, y permite a las empresas recopilar Big Data.

Gearbest y la GDPR

Gearbest, con sede en Shenzhen, tiene una gran presencia en Europa, con almacenes en España, Polonia y República Checa y los EE.UU. donde se aplican las leyes de privacidad y protección de datos de la UE. Cualquier empresa que infrinja el Reglamento general de protección de datos (GDPR) puede recibir una multa de hasta el cuatro por ciento de sus ingresos globales y Gearbest actualmente está infringiendo este reglamento al no proteger la información de los usuarios.

Rotem contacto con Gearbest sobre el problema, pero aún no ha tomado medidas para proteger los datos ni se emitió un comunicado sobre la fuga.

Fuente: VPN Mentor