La base de datos de GearBest fue vulnerable por 2 semanas

Estándar

De acuerdo a una nota aparecida en SecurityWeek el viernes de la semana pasada (15 de marzo 2019), el popular sitio de comercio electrónico chino GearBest dejo sin encriptar la información de su base de datos y fue vulnerable a posibles ataques de hackers.

El problema fue encontrado y reportado por Noam Rotem, quien además de dedicarse al hackeo ético encabeza a la división de investigación de la empresa VPNMentor y en un post del blog de la empresa dio detalles del problema.

Específicamente, el equipo de investigación de VPNMentor pudo acceder a las siguientes bases de datos en marzo de 2019:

  • Base de datos de pedidos, con productos comprados, dirección de envío y código postal, nombre del cliente, dirección de correo electrónico, número de teléfono.
  • Base de datos de pagos y facturas, con número de pedido, tipo de pago, información de pago, dirección de correo electrónico, nombre, dirección IP.
  • Base de datos de miembros, con nombre, dirección, fecha de nacimiento, número de teléfono, dirección de correo electrónico (no cifrada), dirección IP, ID nacional e información de pasaporte, contraseña de la cuenta (no cifrada).

Descubrieron más de 1.5 millones de registros en total. Lograron iniciar sesión con éxito en dos cuentas debido a la violación de la base de datos para la prueba. La información de pago incluía datos relacionados con Boleta (método de pago utilizado en Brasil) y Oxxo (método de pago utilizado en México) que permitirían a posibles piratas informáticos acceder a recibos de clientes y su información bancaria. La compañía también notó que GearBest vende algunos juguetes para adultos, y que si quiere comprarlos discretamente, su lista de compras estaba abierta para que cualquiera (con las habilidades adecuadas) la pudiera ver.

GearBest vio el informe publicado el 15 de marzo y corrigió y explicó el problema en una publicación en su página de Facebook que se reproduce a continuación:

Por lo tanto, siempre que la declaración de GearBest sea precisa, aunque es mala, el problema no es tan catastrófico como apareció en el reporte original. Al menos si Ud. no ordenó nada de la compañía o no se registró primero en la compañía, del 1 al 15 de marzo, su información no debería estar comprometida. Ya que básicamente, de acuerdo a GearBest, un cortafuegos se retiró durante dos semanas y 280,000 usuarios (según sus estimaciones) se vieron afectados durante ese tiempo. La compañía ahora ha restaurado el firewall y ya debe haber reseteado las contraseñas de los usuarios afectados.

Sin embargo, la declaración no mencionó nada sobre el cifrado de datos en esas bases de datos, pero espero que hagan algo al respecto. Si no lo hacen, y si por alguna razón el firewall es desactivado o violado, los datos estarán disponibles públicamente nuevamente.