A GearBest é uma das plataformas de compras online da China mais utilizada, mas decentemente foi descoberta uma vulnerabilidade na mesma que pode afetar todos os utilizadores que realizem pedidos e encomendas na mesma, incluindo os que tenham feito estas atividades no passado.
De acordo com a empresa VPNMentor, o analista de segurança Noam Rotem revelou ter descoberta uma falha grave no sistema do GearBest, que poderá comprometer diversa informação pessoal dos consumidores do site. De acordo com a empresa, as bases de dados da Gearbest armazenam a informação dos consumidores de forma totalmente insegura, sendo que um atacante pode obter diversas informações das mesmas sem grande esforço.
Na investigação, o investigador afirma ter conseguido obter diversa informação pessoal dos consumidores do site, associados com as bases de dados das compras, pagamentos, faturação e de contas criadas. Entre os dados encontram-se os itens comprados, moradas de entrega, nome do cliente, email, número de telefone, método de pagamento utilizado, endereço IP e até a password de acesso às contas GearBest.
No total, os investigadores obtiveram acesso a bases de dados contendo informações como:
- Compras – Datas e produtos adquiridos, moradas de envio e código postal, nomes dos clientes, email, números de telefone
- Pagamentos e Faturas – Datas e números de encomendas, método de pagamento, informação do pagamento, email, endereço IP, anexos de comprovativos de pagamento
- Contas de utilizador – Nomes, moradas completas, datas de nascimento, números de telefone, emails, endereços IP, informação de cartões de identificação e passaportes, passwords das contas
A empresa afirma que o acesso às bases de dados foi realizado em Março de 2019, tendo sido possível aceder a mais de 1.5 milhões de registos. Além de se encontrarem inseguras, as bases de dados da Gearbest também fornecem a potenciais utilizadores maliciosos diversa informação pessoal com atualizações constantes, sobre cada pedido que é realizado da plataforma.
> Falhas a nível da privacidade dos utilizadores
De acordo com a Política de privacidade da Gearbest, esta recolhe alguma informação dos utilizadores que visitam e utilizam a plataforma para compras. A mesma aponta ainda que todas as informações recolhidas, nomeadamente as passwords dos utilizadores, são encriptadas pela empresa – algo que não se verifica na realidade.
As bases de dados possuem diversa informação sensível dos consumidores, onde se encontram registados emails e passwords de acesso a contas – todas sem qualquer proteção e que podem permitir a fácil identificação dos utilizadores.
As bases de dados acedidas pelos investigadores possuem informação com passwords e emails não encriptados – apesar de alguns registos de email terem uma encriptação básica, que pode ser facilmente contornada ou poderia ser apenas uma falha do software de proteção da Gearbest, mas que não impede de todo a identificação do email dos utilizadores registados.
Como se poderá verificar na imagem em seguida, os investigadores afirmam ter obtido acesso a dados como o IP, nome completo do utilizador, morada de envio, data de nascimento e vários outros detalhes que podem ser utilizados para fins de roubos de identidade.
> Detalhes de pagamentos e informações pessoais
Além das bases de dados contendo informação pessoal dos consumidores, os investigadores obtiveram ainda acesso a bases de dados com métodos e confirmações de pagamento sobre encomendas realizadas no site.
Um dos métodos de pagamento mais utilizados no portal passa pelo sistema de Boletos – popular no Brasil. Estes registos encontra-se pendentes nas bases de dados da empresa, com toda a informação dos pagamentos realizados e detalhes dos consumidores.
Outros métodos de pagamento direto também se encontram armazenados, como é o caso de faturas associadas com transferências bancárias dos países onde a Gearbest aceite este método como forma de pagamento. É possível aceder a diversos registos dos consumidores que utilizaram o mesmo, bem como todos os seus detalhes pessoais – incluindo números de contas bancárias.
> Falha afeta até a própria GearBest
Esta falha nos sistemas da Gearbest não afeta apenas os consumidores, mas a própria empresa. Além do acesso a bases de dados dos utilizadores e das encomendas realizadas nos sites, é também possível aceder a links utilizados pelos funcionários da empresa para a gestão das encomendas, atrás da plataforma “Kafka”.
A Kafka é uma plataforma de gestão de encomendas utilizada por grandes empresas para facilitar a tarefa de envio e gestão. No entanto, a falha descoberta permite que o acesso seja realizado a várias áreas críticas deste sistema na Gearbest e que apenas deveriam ser do acesso de funcionários da marca.
Este acesso permite a utilizadores mal intencionados modificarem encomendas que possam encontrar-se pendentes no sistema – além de ser possível aceder e modificar todos os dados associados com os clientes e envios.
> Gearbest não responde à falha
A descoberta desta falha foi realizada pelos investigadores de segurança num formato ético, sendo que estes informaram a Gearbest sobre a mesma e permitiram que a empresa tivesse o tempo necessário para proceder com as correções.
No entanto, apesar das tentativas de contacto, a Gearbest não terá respondido às intervenções e as falhas ainda podem ser exploradas livremente por utilizadores maliciosos.
O TugaTech também tentou entrar em contacto com a Gearbest para obter mais informações relativamente a esta falha, mas até ao momento não foi recebida nenhuma resposta por parte da empresa. Iremos certamente atualizar este artigo com mais informações conforme seja necessário.
