Les dades de milers d'usuaris de gearbest haurien quedat exposats

Gearbest és una de les botigues onlines més populars de el món. Especialitzada en productes d'informàtica i electrònica d'origen xinès, amb especial atenció a telèfons intel·ligents, ha escalat llocs en el rànquing de popularitat durant els últims temps. Sembla, però, que no s'ha tingut la cura necessària i les dades de milers, potser milions, d'usuaris, haurien quedat exposats.

Exposats les dades d'usuaris de Gearbest

D'acord amb la investigació duta a terme per l'equip VPNMentor, els seus propis pirates informàtics van poder accedir a diverses bases de dades de Gearbest relacionades amb comandes, pagaments i la informació de l'usuari en general que figura com "completament segura".

L'informe assenyala que a l'almenys un milió i mig de dades haurien quedat exposats als pirates informàtics. Mentrestant, Gearbest calcula que 280.000 usuaris haurien estat els afectats

Entre la informació a la qual s'hauria tingut accés es troben noms, números d'identificació, números de passaport, historial de comandes, adreces d'enviament, dades de pagament, adreces de correu electrònic i contrasenyes.

L'equip afirma que va poder accedir a aquesta informació a principis d'aquest mes, afegint que va descobrir "més de 1, 5 milions d'enregistraments". A més, l'equip ha declarat que va contactar en diverses ocasions Gearbest i la seva empresa matriu per informar-los sobre aquest problema de seguretat, però no va rebre cap resposta.

Gearbest: "les eines de gestió de dades de tercers són els culpables dels fets"

El minorista en línia finalment ha emès un comunicat a través del web especialitzada Android Police. En aquesta declaració la companyia sosté que les bases de dades i els servidors propis són "absolutament segurs". Així, Gearbest tira pilotes fora proposant que serien les eines de gestió de dades de tercers les que podrien haver estat vulnerades.

"Les eines externes que utilitzem estan destinades a millorar l'eficiència i evitar la sobrecàrrega de dades i les dades només s'emmagatzemen en aquest tipus d'eines per menys de tres dies naturals abans que es destrueixin automàticament", explica el lloc web, assegurant que s'utilitzen "poderosos servidors de seguretat" per protegir aquestes eines.

"No obstant això, la nostra investigació revela que l'1 de març de 2019, aquest tipus de servidors de seguretat van ser vulnerats per un dels nostres membres de l'equip de seguretat per causes que encara estan sota investigació. Aquesta situació de desprotecció ha exposat directament aquestes eines per a la digitalització i l'accés sense autenticació addicional ".

Gearbest creu que els usuaris afectats es limiten a uns 280.000. Així mateix, aquests usuaris afectats serien aquells que van efectuar alguna compra en el lloc web entre l'1 de març i el 15 de març. Com a mesures més immediates, Gearbest ha comunicat que està procedint a l'enviament d'un correu electrònic informatiu a tots els usuaris afectats, a el temps que es desactiven les contrasenyes dels usuaris recentment registrats.

Tal com s'assegura des d'Android Authority, no és la primera vegada Gearbest es veu immersa en una situació similar a la que es posen en risc les dades dels usuaris i clients. El passat mes de desembre de l'any 2017 van anar a el menys 150 registres d'usuari dels que van ser publicats a internet. En el moment d'aquest incident, el lloc dir que era probable que els hackers haguessin comprat o adquirit inici de sessió d'l'usuari a partir d'altres llocs web i que estaven usant aquests detalls en un intent d'iniciar sessió en comptes Gearbest.

Font Android Authority