Un equipo de hackers de VPNMentor
descubrió que el gigante chino de comercio en línea Gearbest almacena los datos de los clientes en bases de datos de fácil acceso.
Los chicos de VPNMentor descubrieron varias bases de datos inseguras de Elasticsearch (Índices) con millones de registros que contienen detalles de clientes, información de pedidos y datos de pago.
Gearbest admite y utiliza todo este material, cuyo sitio se encuentra entre los 250 sitios web más grandes de Internet. Gerbest vende marcas importantes como Asus, Huawei, Intel y Lenovo, entrega a más de 250 países y admite versiones locales de la tienda en 18 idiomas.
En total, se encontraron tres bases de datos disponibles gratuitamente, que contienen un total de más de 1.5 millones de registros:
- Pedidos base: contiene productos y sus direcciones de entrega, correo electrónico del cliente, sus nombres y direcciones IP.
- Base de pago: consta de números de pedido, tipos de pago, información de pago, nombres de clientes y sus direcciones IP.
- Base de clientes: contiene los nombres de los clientes, sus fechas de nacimiento, direcciones, números de teléfono, correos electrónicos, direcciones IP, pasaportes e incluso contraseñas de acceso para pedidos.
Lo más importante, esta base de datos se actualiza, es decir se escriben nuevas líneas con los datos de nuevos pedidos.