2019/03/15

Gearbest expõe dados dos clientes - incluindo passwords não encriptadas


O escândalo de segurança desta semana recai sobre a nossa bem conhecida loja online Gearbest, que investigadores descobriram manter uma base de dados exposta ao público, contendo informação sobre os clientes, compras que fizeram, moradas, e até as passwords sem qualquer encriptação.

O relato desta descoberta desta falha de segurança na Gearbest é verdadeiramente aterradora, figurando-se como um dos piores casos de sempre, e onde fica evidente uma total falta de preocupação com a segurança dos dados dos clientes - e até da própria gestão do site.

Uma base de dados "Elastic Search" está exposta ao mundo, dando acesso imediato e sem qualquer tipo de encriptação aos dados dos clientes, incluindo nomes, emails, passwords, moradas, documentos pessoais (nalguns casos), tudo o que compraram, e até aos métodos de pagamento. Este último permite que atacantes possam usar métodos como o Boleto, popular no Brasil, de forma fraudulenta.

Os investigadores referem que, para além da óbvia gravidade desta falha de segurança, a lista de produtos comprados pode resultar ainda em problemas acrescidos, caso alguém se dedique a investigar produtos "sensíveis", como brinquedos sexuais, que tenham sido enviados para países mais repressivos nessas matérias, permitindo perseguir os visados, ou sujeitá-los a chantagem.

Mais preocupante, é que mesmo depois de ter sido alertada para o caso, a Gearbest não deu qualquer resposta nem efectuou qualquer correcção, com todos estes dados a permanecerem expostos ao público. Situação que a deixa numa péssima posição para enfrentar a já previsível queixa ao abrigo do RGPD que se seguirá a caso tão flagrante.


Nota: até que a situação seja resolvida, não valerá a pena trocar a password, uma vez que irá imediatamente ficar exposta. Caso usassem uma password repetida (o que nunca deveriam fazer!), apressem-se a alterá-la nos noutros sites - e desta vez optem por passwords únicas para cada site ou serviço.

13 comentários:

  1. E quanto a quem se autentica via conta Google?

    ResponderEliminar
    Respostas
    1. À partida não terá problema porque toda a autenticação é toda feita do lado da google, agora dados como nomes moradas, email etc foram comprometidos certamente.

      Eliminar
  2. Mais uma valente machadada na tão "evoluída" sociedade digital... :(

    ResponderEliminar
  3. A sério!.. o que é que esta gente pensa... as compras que faço uso sempre cartões MB NET específicos para cada compra, ainda assim não vou gostar nada de ver os meus dados tornados públicos, mais uma vez pergunto, o que é que esta gente pensava, será que pensam que conseguem passar nos intervalos da chuva, a situação dos outros sítios não deve ser muito diferente.

    ResponderEliminar
    Respostas
    1. Feliz ou infelizmente serviços como o MB Net não existem em muitos países. Nós temos a sorte de o ter e é bom que as pessoas o aproveitem para evitar problemas em casos como este.

      Eliminar
  4. E ainda por cima, ao contrário dantes, os preços dos artigos mais populares nem são os mais competitivos para Portugal...
    Era bom que, depois de corrigirem essa situação, recompensassem os clientes :)

    ResponderEliminar
    Respostas
    1. Isso e deixar aceder ao site em inglês. As auto-traduções para português são um desastre na maioria dos casos.

      Eliminar
    2. Desastre é um bom termo :)
      Para consultar os produtos em inglês:
      - quando não quero ter trabalho, uso o site do Reino Unido uk.gearbest.com. Não dá para comprar, mas dá para consultar e descansar a vista do site auto-traduzido :)
      - quando quero mesmo uma coisa, vou por VPN ao site Global (www)

      Eliminar
  5. A Gearbest já reagiu no Facebook:
    https://www.facebook.com/gearbest/photos/a.640469842668321/2402847263097228/?type=3&theater

    ResponderEliminar
    Respostas
    1. Tem piada dizerem "alegadamente"... quando era algo que qualquer pessoa podia comprovar com facilidade.
      Vamos ver a resposta alegadamente será convincente caso tenham que enfrentar um processo na Europa ao abrigo do RGPD...

      Eliminar
  6. Cada vez mais opto pelo AliExpress, a única vantagem do gearbest é converter pontos em descontos mas as possibilidades têm diminuído.

    ResponderEliminar
  7. O Aliexpress não tem envio por linha prioritária pois não?

    ResponderEliminar
  8. Este comentário foi removido por um gestor do blogue.

    ResponderEliminar