A gigante empresa chinesa Gearbest vê os dados dos utilizadores expostos online, incluindo informações e encomendas de milhões de clientes, através de um servidor Elasticearch não seguro.
O autor da descoberta foi o investigador Noam Rotem da equipa de investigação da VPNMentor’s .
O servidor do Elasticsearch não estava protegido com palavra-passe o que permitiu a sua fácil descoberta.
Security researcher Noam Rotem found an Elasticsearch server leaking millions of records each week, including customer data, orders and payment records. The server wasn’t protected with a password, allowing anyone to search the data.
A Gearbest é classificada como um dos 250 principais sites globais e atende as principais marcas, incluindo Asus, Huawei, Intel e Lenovo.
Algumas das informações que estavam publicamente acessíveis incluem emails, palavras-passe, endereços de IP, aniversários, morada, informações de pagamento e nomes completos. De facto, a equipa de investigação até conseguiu entrar em duas contas sem grande esforço.
Our hackers could access different parts of Gearbest’s database, including:
- Orders database
Data includes products purchased; shipping address and postcode; customer name; email address; phone number - Payments and invoices database
Data includes order number; payment type; payment information; email address; name; IP address - Members database
Data includes name; address; date of birth; phone number; email address; IP address; national ID and passport information; account passwords
We accessed these databases in March 2019, and discovered 1.5+ million records.
Para além disso, o conteúdo exacto de cada encomenda que tinha sido feita, também estava vísivel.
O que estava também acessível era a consola de gestão de dados da Gearbest. Assim, um utilizador mal intencionado podia manipular facilmente a informação no website. Era também possível desativar componentes dos servidores da Gearbest e até corromperem as operações nos armazéns desta loja.
Segundo esta loja, após o incidente os perigos em segurança, tudo foi verificado.
Segundo a Gearbest “as bases de dados e os servidores para alojamento e processamento de dados estão totalmente protegidos com todas as medidas de encriptação. No entanto, algumas ferramentas externas que guardam informações temporariamente podem ter sido acedidas por outras pessoas e como tal a segurança dos dados pode ter sido comprometida”.
Ainda assim estas ferramentas externas estão normalmente protegidas por uma firewall.
A questão, explica a loja, é que no dia 1 de Março de 2019, estes sistemas foram inadvertidamente desativados por um elemento da equipa de segurança, por razões ainda por apurar. Foi isto que levou ao problema.
Eventualmente, os dados que podem ter chegado à Internet envolvem compras entre 1 de Março de 2019 e o dia 15. Na prática foram cerca de 280 mil.
Entretanto o problema, segundo a loja, já foi resolvido. Olhando para a explicação da loja se fez compras entre 1 e 15 de Março na GearBest então fique atento aos movimentos do seu cartão de crédito e verifique se nota alguns movimentos estranhos — alguém pode ter conseguido aceder a esta informação.
Mais detalhes sobre a descoberta aqui.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.