image_pdfimage_print

Um grande vazamento de dados atingiu os clientes da Gearbest, uma das maiores lojas online de eletrônicos e produtos da China. A partir de um servidor desprotegido, um especialista em segurança foi capaz de encontrar os dados de milhões de usuários do marketplace, a partir da disponibilização insegura de seus históricos de compra, em uma brecha que atingiu milhares de usuários brasileiros.

De acordo com Noam Rotem, responsável pela descoberta da falha, estavam disponíveis no servidor informações como e-mails, nomes, endereços, telefones, números de passaporte ou identidade e senhas, que permitiriam acesso total às contas dos usuários da Gearbest. Informações de pagamento também foram comprometidas, juntamente com a lista de produtos adquiridos pelos clientes.

No total, são 1,5 milhão de registros comprometidos, incluindo milhares de brasileiros. Boletos bancários emitidos pelo marketplace e utilizados pelos nossos cidadãos para pagamento foram vazados, assim como a lista completa de produtos adquiridos por todas as vítimas. Os dados trazem descrições dos itens, os valores pagos por eles e os endereços para entrega.


CT no Flipboard: você já pode assinar gratuitamente as revistas Canaltech no Flipboard do iOS e Android e acompanhar todas as notícias em seu agregador de notícias favorito.

Além da disponibilização indevida dos dados em si, o pesquisador cita também a gigantesca brecha na privacidade dos fregueses da Gearbest, uma vez que muitos dos pedidos disponíveis abertamente no servidor incluem fantasias, lingeries e brinquedos sexuais. Alguns, inclusive, foram enviados para países em que a posse desse tipo de produto é proibida, como territórios do Oriente Médio em que temas relacionados LGBTQ+ e sexo antes do casamento são proibidos por lei, com penas que incluem até mesmo a morte.

Além da lista de pedidos, Rotem também encontrou um sistema aberto de gerenciamento de banco de dados da Globalegrow, empresa-mãe da Gearbest. Também disponível sem nenhum tipo de criptografia ou proteção, a plataforma permitiria que qualquer um manipulasse ou alterasse informações de clientes e usuários do marketplace e também outros serviços da companhia.

Não se sabe ao certo desde quando os dados estão disponíveis, mas eles foram localizados no dia 7 de março por meio do serviço ElasticSearch, que realiza buscas em tempo real em arquivos de grande volume. A Gearbest foi contatada diversas vezes pelo especialista antes da divulgação das informações à imprensa, mas o marketplace não havia respondido. 

Pela manhã, a empresa se posicionou nas redes sociais e disse que seus epecialistas estão averiguando o caso.


Como se proteger

O vazamento pode servir como arma para golpistas, bem como permitir a invasão de outras contas em serviços de e-mail, redes sociais ou plataformas bancárias. Apesar de um link para o banco de dados ou uma lista de clientes afetados não ter sido fornecida, a recomendação inicial para todos que compram na Gearbest é trocar imediatamente a senha de acesso ao serviço, bem como a de qualquer outra plataforma que compartilhe da mesma credencial.

Além disso, como o vazamento inclui dados financeiros, é importante ficar de olho nas faturas do cartão de crédito, em busca de qualquer aquisição suspeita ou não reconhecida. Caso algo assim aconteça, será necessário entrar em contato com o banco para bloqueio do cartão e emissão de um novo que não tenha sido comprometido.

Por fim, vale a pena dar atenção a golpes que possam vir por e-mail, ligações ou até correio. De posse dos dados pessoais, um criminoso poderia se passar por representante de empresas para aplicar golpes ou até mesmo tentar extorquir as vítimas.

Leia a matéria no Canaltech.

Trending no Canaltech:

(Ler na fonte)


×
CREATE ACCOUNT ALREADY HAVE AN ACCOUNT?

 
×
Recuperar as informações de acesso?
×

Go up

Pular para a barra de ferramentas