Une équipe de hackers VPNMentor a
découvert que le géant chinois du commerce en ligne Gearbest stocke les données des clients dans des bases de données facilement accessibles.
Les gars de VPNMentor ont découvert plusieurs bases de données (indices) non sécurisées d'Elasticsearch avec des millions d'enregistrements contenant les détails des clients, les informations de commande et les données de paiement.
Tout cela est pris en charge et utilisé par Gearbest, dont le site figure dans le Top 250 des plus grands sites Web d'Internet. Gerbest vend des marques majeures comme Asus, Huawei, Intel et Lenovo, livre dans plus de 250 pays et prend en charge les versions locales de la boutique en 18 langues.
Au total, trois bases de données librement disponibles ont été trouvées, contenant un total de plus de 1,5 million d'enregistrements:
- Commandes de base - contient les marchandises et leurs adresses de livraison, e-mail client, leurs noms et adresses IP.
- Base de paiement - comprend les numéros de commande, les types de paiement, les informations de paiement, les noms des clients et leurs adresses IP.
- Base de clients - contient les noms des clients, leurs dates de naissance, adresses, numéros de téléphone, e-mails, adresses IP, passeports et même des mots de passe d'accès pour les commandes.
Plus important encore, cette base de données est mise à jour, c'est-à-dire de nouvelles lignes avec les données des nouvelles commandes y sont écrites.