Banco de dados da Gearbest é "completamente aberto e inseguro"
A equipe de pesquisa do site VPNMentor publicou nesta quinta-feira um estarrecedor relatório sobre as práticas de segurança da Gearbest, um dos mais conhecidos sites de e-commerce chineses. Basicamente, a empresa está expondo informações confidenciais de mais de 1,5 milhões de consumidores.
A equipe conseguiu acessar o banco de dados de pedidos do site, que inclui “os produtos comprados, endereço de envio, nome do consumidor, endereço de e-mail e telefone” e também a base de dados de pagamentos, que inclui “números de pedido, forma de pagamento, informações de pagamento, endereço de e-mail, nome do cliente e endereço IP de seu computador”.
O banco de dados de membros do site também foi acessado, com informações como “nome, endereço, data de nascimento, número de telefone, endereço de e-mail, números de documentos de identidade e senhas das contas”. Para piorar, as senhas não estão criptografadas.
Prato cheio para criminosos
Com estas informações, é possível montar um perfil completo de cada consumidor do site, o que é uma mina de ouro para hackers mal-intencionados. De acordo com a equipe:
Os bancos de dados da Gearbest não são só inseguros. Eles estão oferecendo a agentes potencialmente maliciosos uma fonte fresca e constantemente atualizada de dados pessoais.
De posse das informações obtidas nos bancos de dados, a equipe do VPNMentor conseguiu se logar em duas contas do site e operá-las como se fossem os proprietários legítimos, visualizando pedidos atuais e passados, pontos acumulados e com a capacidade de modificar a senha e detalhes da conta.
Analisando URLs encontradas no banco de dados, a equipe também conseguiu acessar boletos do EBANX, empresa que processa os pagamentos da Gearbest na América Latina, inclusive o Brasil. Eles continham informações detalhadas sobre pedidos, como valor e dados bancários.
Além de tudo isso, a equipe de hackers descobriu que a Gearbest viola os próprios termos de serviço. O site simplesmente não criptografa os dados do usuário, como promete, e armazena mais informações pessoais (como endereços IP) do que o necessário para operar a loja.
Hackers éticos
A equipe do VPNMentor é composta por hackers éticos ou “White Hat”, ou seja, dedicados à pesquisa de segurança. Como tais, ela tem por prática avisar os responsáveis pelos sites sobre as falhas de segurança encontradas, para que possam ser corrigidas, mas também de avisar ao público afetado sobre a existência dos problemas e e suas ramificações.
Segundo o relatório, tanto a Gearbest quanto sua empresa-mãe, a Globalegrow, foram avisadas repetidas vezes sobre a falha de segurança e sobre a publicação do relatório, com um prazo de vários dias para que pudessem se pronunciar. Entretanto, até o momento, os hackers da VPNMentor não receberam nenhuma resposta.
Você compra coisas na Gearbest?
toda vez que eu compro algo online logo apos eu removo meu cartao dos sites rsrs, ainda bem que agora no santander da pra criar uns cartoes virtuais somente pra essa compra, uma vez tentaram passar um jogo de roda no meu cartao pelo mercado livre kkkk
Rapaz, eu sou cliente da Gearbest, mas acredito que nenhum hacker irá querer subtrair algo meu, já que minhas compras são sempre a baixo dos 50 dolares...rsrsrsrsrs...
Eu não compro quase nada na Gearbest, não gosto dos preços deles e agora que eles perderam a noção nos fretes gosto menos ainda.
Sempre comprei no AliExpress dos vendedores de boa reputação e até hoje não tive problemas.
É por essas e outras que só uso cartão virtual pra compras na net, depois excluo.
Eu comprei e agora estou muito preocupado, muito mesmo. Visto que há comprei objetos frango no cartão, quanto no boleto. No cartão, tive que ligar para a administradora pedindo para que autoridade em a compra. Já no boleto, fica mais complicado. Agora, isto é muito preocupante, extremamente.
Pelo visto comprar em sites como o Mercado Livre no Brasil está mais vantajoso.
Espero que depois desta a Gearbest tome as medidas corretivas cabíveis , é o mínimo.
O pior é que se acontecer algo com os dados expostos, a empresa vai se esquivar da responsabilidade (com certeza).
É de empresas como esta que compramos nossos equipamentos na China e em outros países . A cada dia me sinto mais inseguro, pois a cada semana temos informações que os nossos dados (seja no Google, no facebook, youtube, instagram, whatsap e muitos outros) não tem a segurança necessária . Como eu costumo dizer: se já invadiram a Nasa, CIA e o FBI o que sobra para nós meros mortais ?
E durma-se com um barulho destes .