NextPit

Banco de dados da Gearbest é "completamente aberto e inseguro"

hacker privacy password crack access security infringe spy 03
© Gorodenkoff / Shutterstock

A equipe de pesquisa do site VPNMentor publicou nesta quinta-feira um estarrecedor relatório sobre as práticas de segurança da Gearbest, um dos mais conhecidos sites de e-commerce chineses. Basicamente, a empresa está expondo informações confidenciais de mais de 1,5 milhões de consumidores.

NextPit Logo white on transparent Background
NEXTPITTV

A equipe conseguiu acessar o banco de dados de pedidos do site, que inclui “os produtos comprados, endereço de envio, nome do consumidor, endereço de e-mail e telefone” e também a base de dados de pagamentos, que inclui “números de pedido, forma de pagamento, informações de pagamento, endereço de e-mail, nome do cliente e endereço IP de seu computador”.

Screenshot from 2019 03 14 15 09 31
Gearbest é extremamente popular entre os fãs de "gadgets" chineses / © NextPit

O banco de dados de membros do site também foi acessado, com informações como “nome, endereço, data de nascimento, número de telefone, endereço de e-mail, números de documentos de identidade e senhas das contas”. Para piorar, as senhas não estão criptografadas.

Prato cheio para criminosos

Com estas informações, é possível montar um perfil completo de cada consumidor do site, o que é uma mina de ouro para hackers mal-intencionados. De acordo com a equipe:

Os bancos de dados da Gearbest não são só inseguros. Eles estão oferecendo a agentes potencialmente maliciosos uma fonte fresca e constantemente atualizada de dados pessoais.

De posse das informações obtidas nos bancos de dados, a equipe do VPNMentor conseguiu se logar em duas contas do site e operá-las como se fossem os proprietários legítimos, visualizando pedidos atuais e passados, pontos acumulados e com a capacidade de modificar a senha e detalhes da conta. 

Analisando URLs encontradas no banco de dados, a equipe também conseguiu acessar boletos do EBANX, empresa que processa os pagamentos da Gearbest na América Latina, inclusive o Brasil. Eles continham informações detalhadas sobre pedidos, como valor e dados bancários.

Além de tudo isso, a equipe de hackers descobriu que a Gearbest viola os próprios termos de serviço. O site simplesmente não criptografa os dados do usuário, como promete, e armazena mais informações pessoais (como endereços IP) do que o necessário para operar a loja.

Hackers éticos

A equipe do VPNMentor é composta por hackers éticos ou “White Hat”, ou seja, dedicados à pesquisa de segurança. Como tais, ela tem por prática avisar os responsáveis pelos sites sobre as falhas de segurança encontradas, para que possam ser corrigidas, mas também de avisar ao público afetado sobre a existência dos problemas e e suas ramificações.

Segundo o relatório, tanto a Gearbest quanto sua empresa-mãe, a Globalegrow, foram avisadas repetidas vezes sobre a falha de segurança e sobre a publicação do relatório, com um prazo de vários dias para que pudessem se pronunciar. Entretanto, até o momento, os hackers da VPNMentor não receberam nenhuma resposta.

Você compra coisas na Gearbest?

Gostou do artigo? Então compartilhe!
Comentar agora

Artigos recomendados

9 Comentários

Escreva um comentário:
Todas as mudanças foram salvas. Não há rascunhos salvos no seu aparelho.
Escreva um comentário:
Todas as mudanças foram salvas. Não há rascunhos salvos no seu aparelho.

  • Rogerio Droid Tec 18/03/2019 Link para o comentário

    toda vez que eu compro algo online logo apos eu removo meu cartao dos sites rsrs, ainda bem que agora no santander da pra criar uns cartoes virtuais somente pra essa compra, uma vez tentaram passar um jogo de roda no meu cartao pelo mercado livre kkkk


  • Léo Walk 16/03/2019 Link para o comentário

    Rapaz, eu sou cliente da Gearbest, mas acredito que nenhum hacker irá querer subtrair algo meu, já que minhas compras são sempre a baixo dos 50 dolares...rsrsrsrsrs...


  • Soterio Salles 15/03/2019 Link para o comentário

    Eu não compro quase nada na Gearbest, não gosto dos preços deles e agora que eles perderam a noção nos fretes gosto menos ainda.
    Sempre comprei no AliExpress dos vendedores de boa reputação e até hoje não tive problemas.


  • Iraderson Rocha 15/03/2019 Link para o comentário

    É por essas e outras que só uso cartão virtual pra compras na net, depois excluo.


  • José Luís Silva Martiniano 15/03/2019 Link para o comentário

    Eu comprei e agora estou muito preocupado, muito mesmo. Visto que há comprei objetos frango no cartão, quanto no boleto. No cartão, tive que ligar para a administradora pedindo para que autoridade em a compra. Já no boleto, fica mais complicado. Agora, isto é muito preocupante, extremamente.


  • Kayo Aristov Abramov™ 14/03/2019 Link para o comentário

    Pelo visto comprar em sites como o Mercado Livre no Brasil está mais vantajoso.


  • Jairo rios 14/03/2019 Link para o comentário

    Espero que depois desta a Gearbest tome as medidas corretivas cabíveis , é o mínimo.


  • Chris 14/03/2019 Link para o comentário

    O pior é que se acontecer algo com os dados expostos, a empresa vai se esquivar da responsabilidade (com certeza).


  • Antonio A. B. Boaretto 14/03/2019 Link para o comentário

    É de empresas como esta que compramos nossos equipamentos na China e em outros países . A cada dia me sinto mais inseguro, pois a cada semana temos informações que os nossos dados (seja no Google, no facebook, youtube, instagram, whatsap e muitos outros) não tem a segurança necessária . Como eu costumo dizer: se já invadiram a Nasa, CIA e o FBI o que sobra para nós meros mortais ?
    E durma-se com um barulho destes .

Escreva um comentário:
Todas as mudanças foram salvas. Não há rascunhos salvos no seu aparelho.