Os bancos de dados desprotegidos da Gearbest deixam milhões de usuários em risco
A Amazon pode ser a palavra de código internacional para o comércio eletrônico, mas também existem outros players, especialmente em outras regiões e mercados menores. A China tem produtos como os da Alibaba e da Gearbest, muitos deles dispositivos eletrônicos em todo o mundo. A Gearbest, sozinha, atende a 250 países e seus clientes podem chegar a milhões. E todos eles têm seus dados pessoais, particulares e, às vezes, incriminadores, facilmente expostos graças a algumas das piores práticas de segurança das quais ouvimos falar.
Quando seu negócio envolve compras on-line, você estará naturalmente de posse de várias informações importantes. Você terá, entre outras coisas, o nome de um comprador, endereço físico, e-mail, número de telefone e informações de pagamento. É de seu interesse proteger esses dados, não apenas porque isso é bom para inspirar confiança em seus negócios, mas também porque algumas jurisdições exigem isso legalmente.
O site chinês de comércio eletrônico Gearbest tem uma política de privacidade que garante explicitamente aos seus clientes. Além de informar quais dados são coletados, ele também informa aos usuários que esses detalhes estão totalmente protegidos por meio de criptografia. Um novo relatório de segurança afirma o contrário e revela como as ações da Gearbest eram completamente opostas ao que ele diz que faz.
Os bancos de dados de pedidos, pagamentos e usuários da Gearbest foram descobertos como não seguros. Não demorou muito para que um hacker de chapéu branco experiente invadisse o sistema do site e extraísse dados. O que piora é que poucos desses dados foram realmente criptografados, tornando muito fácil para qualquer pessoa com o banco de dados pegar o que eles precisam.
Mais do que apenas a ameaça de roubo de identidade, a falta de práticas de segurança padrão da indústria da Gearbest representa uma ameaça emocional e física aos usuários. Os bancos de dados poderiam ter referências cruzadas para encontrar informações incriminatórias sobre os usuários que poderiam, posteriormente, ser usados para chantageá-los ou, pior ainda, entregá-los a governos opressivos. A vpnMentor, que descobriu e testou a violação de dados, informou a Gearbest sobre o assunto. Infelizmente, a empresa não tomou medidas nem respondeu ao relatório.
Via: Slash Gear
Nenhum comentário