A gigante do ecommerce chinês Gearbest deixou uma base de dados exposta na internet. Pesquisadores da VPNMentor descobriram a base em um servidor Elasticsearch reunindo informações como: dados dos consumidores, pedidos de itens e registros de pagamentos. Os dados abertos exibem 1,5 milhão de registros.
Ainda não há um posicionamento sobre o caso e a base continua exposta
De acordo com o pesquisador Noam Rotem, o servidor está completamente desprotegido, sem qualquer tipo de senha ou camada extra de segurança. Isso significa que os dados de boa parte dos clientes da Gearbest são armazenados sem o menor cuidado.
- Atualização: a Gearbest soltou um comunicado alertando que já corrigiu os problemas. Além disso, que foram afetados 280 mil clientes registrados no mês de março de 2019. A empresa pede desculpas e está contatando usuários afetados.
Entre os dados de consumidores expostos, é possível encontrar nomes completos, endereços residenciais, números telefônicos, ordens de pedidos e quais pedidos foram feitos. Os registros ainda incluíam informações de pagamento e faturas — sim, com valores gastos por usuários e todos os detalhes que existem em faturas.
O phishing pode chegar via email, SMS, promoções em redes sociais e mensagens via apps
Dados como estes expostos abrem uma gama de golpes que envolve desde a engenharia social até o spear phishing para infectar usuários em específico. Como nota o TechCrunch, também eram encontrados pedidos de brinquedos sexuais, o que pode acarretar em perigo para vários usuários em lugares do mundo que não possuem liberdade de expressão e também onde relacionamento LGBTQ+ é banido, como Emirados Árabes e Paquistão.
Não existem muitos detalhes informando a quantidade de acesso que a base de dados teve nem por quando tempo ela estava exposta — apenas que foi identificada no dia 7 de março.
VPNMentor
Fontes
Categorias