Un análisis de vpnMentor, reveló una falla de seguridad importante en la tienda china Gearbest que expuso la información de millones de usuarios. El primer elemento importante para considerar es que la base de datos a la que tuvieron acceso de la tienda, no contaba con seguridad.
Detalles de los pedidos, nombres y hasta métodos de pago
Los hackers del sitio lograron descubrir información muy detallada, inclusive actualizada porque se trata de marzo de 2019, donde encontraron más de 1.5 millones de registros en tres diferentes categorías:
- Base de datos de pedidos: se muestran los productos comprados, las direcciones y el nombre del cliente.
- Base de datos de pagos y facturas: Se muestra información como el número de pedido, tipo de pago, correo electrónico, nombre y hasta dirección IP.
- Base de datos de usuarios: incluye nombre, fecha de nacimiento, teléfono, correo electrónico, dirección IP y contraseña de la cuenta.
En la Política de Privacidad del sitio, mencionan que se recopila información de los usuarios, pero con la única finalidad de servir a sus clientes. Mientras otro apartado señala que los usuarios son responsables de sus propias contraseñas, el sitio cifra la información confidencial y emplean software de verificación para proteger a sus clientes.
"Nosotros implementamos una variedad de medidas de seguridad que incluyen el uso de un servidor seguro. Toda la información sensible/ crediticia suministrada se transmite a través de la tecnología Secure Socket Layer (SSL) y luego se encripta en nuestra base de datos de proveedores de pasarela de pago para que puedan acceder las personas autorizadas con derechos especiales de acceso a dichos sistemas, exigiéndoseles mantener la confidencialidad de la información. Después de una compra, su información privada (tarjetas de crédito, números de seguridad social, financieros, etc.) no se almacenará en nuestros servidores."
En vpnmentor mencionan que ese último elemento no es cierto, por el fácil acceso a todas las bases de datos que encontraron. El medio TechCrunch se puso en contacto con la tienda por medio de su sitio de seguridad y señalan que la tienda no respondió a su solicitud.
Lamentablemente no es un tema nuevo para Gearbest, en diciembre de 2017 la tienda confirmó que algunas cuentas habían sido expuestas, pero que no hackearon su plataforma.
Ver 1 comentarios