Uma equipe de hackers do VPNMentor
descobriu que a gigante chinesa de comércio on-line Gearbest armazena dados de clientes em bancos de dados facilmente acessíveis.
O pessoal do VPNMentor descobriu vários bancos de dados (índices) inseguros do Elasticsearch com milhões de registros contendo detalhes de clientes, informações de pedidos e dados de pagamento.
Todo esse material é suportado e usado pela Gearbest, cujo site está entre os 250 maiores sites da Internet inteira. A Gerbest vende grandes marcas como Asus, Huawei, Intel e Lenovo, entrega para mais de 250 países e suporta versões locais da loja em 18 idiomas.
No total, foram encontrados três bancos de dados disponíveis gratuitamente, contendo um total de mais de 1,5 milhão de registros:
- Pedidos básicos - contém mercadorias e seus endereços de entrega, e-mail do cliente, seus nomes e endereços IP.
- Base de pagamento - consiste em números de pedidos, tipos de pagamento, informações de pagamento, nomes de clientes e seus endereços IP.
- Base de clientes - contém os nomes dos clientes, suas datas de nascimento, endereços, números de telefone, e-mails, endereços IP, passaportes e até mesmo senhas de acesso para pedidos.
Mais importante, esse banco de dados é atualizado, ou seja, novas linhas com os dados de novos pedidos são gravadas nele.