Através de Noam Rotem, um conhecido hacker e ativista de white hat, a equipe de pesquisa da VPNMentor descobriu uma grande falha de segurança na Gearbest.
Com centenas de milhares de vendas todos os dias, a Gearbest é uma empresa chinesa de comércio eletrônico altamente bem-sucedida.
Ela está em mais de 250 países e territórios em todo o mundo e está classificado nos 100 principais sites com participações de 30%, possuindo subdomínios em 18 idiomas.
A Gearbest é de propriedade do conglomerado chinês, a Globalegrow. A empresa-mãe opera em vários sites de sucesso internacional, incluindo Zaful, Rosegal e DressLily. Em 2015, suas vendas atingiram US$ 550 milhões. Em 2017, a empresa comemorou um faturamento de US$ 1,48 bilhão.
O vpnMentor revelou exclusivamente, que o banco de dados da Gearbest é completamente inseguro, bem como as que pertencem às suas empresas-irmãs.
Violação de dados possibilita que hackers possam acessar diferentes partes do banco de dados da Gearbest, incluindo:
Banco de dados de pedidos
Dados incluem produtos comprados, endereço de envio e código postal, nome do cliente, endereço de e-mail e número de telefone.
Banco de dados de pagamentos e faturas
Dados incluem o número do pedido, tipo de pagamento, Informação de pagamento, endereço de e-mail, nome e endereço de IP.
Banco de dados de membros
Dados incluem nome, endereço, data de nascimento, número de telefone, endereço de e-mail, Endereço de IP, informações nacionais sobre identidade, passaporte e senhas de conta.
Estes bancos de dados foram acessados em março de 2019, revelando mais de 1,5 milhão de registros.
O banco de dados da Gearbest não é apenas inseguro. Também está fornecendo agentes mal-intencionados com um suprimento constantemente atualizado de dados novos.
Problemas de segurança
Além da nossa capacidade de acessar conjuntos completos de informações pessoalmente identificáveis para milhões de usuários, a violação de dados da Gearbest levanta vários outros problemas muito sérios.
Segurança do usuário
Um banco de dados aberto, preenchido com informações pessoais, pode comprometer a segurança on-line dos usuários. Os registros que vimos mostram conjuntos completos de dados não criptografados, incluindo endereços de e-mail e senhas.
(Vale a pena notar que alguns endereços de e-mail continham algum hash. Não sabemos se isso foi intencional e deveria ter aparecido em todos os lugares, ou se alguns de seus dados foram corrompidos. Nossos hackers acreditam que foi uma medida de segurança parcialmente implementada que é simplesmente não fazer o devido trabalho, de forma correta.)
A captura de tela abaixo mostra trechos de dois conjuntos de dados do usuário que coletamos do banco de dados.
Conseguimos fazer login nessas duas contas da Gearbest e operá-las como se fôssemos usuários. Poderíamos visualizar os pedidos atuais e anteriores, acumular pontos da Gearbest e alterar a senha e os detalhes da conta.
Os hackers podem usar essas informações para criar danos “locais”, acessando contas de usuários usando seus e-mails e senhas, eles podem alterar pedidos de usuários, manipular detalhes de contas e gastar dinheiro com métodos de pagamento salvos.
No entanto, essa informação também pode ser usada de uma maneira muito mais sinistra. Ao fazer referência cruzada a diferentes bancos de dados, os hackers poderiam facilmente roubar as identidades dos clientes da Gearbest.
Como visto abaixo, o banco de dados de Membros inclui o endereço IP desse usuário, endereço postal completo, endereço de e-mail, data de nascimento e, mais preocupantemente, o seu número de identidade nacional.
Dependendo do país e dos requisitos, isso pode ser uma informação suficiente para dar aos hackers acesso a portais governamentais on-line, aplicativos bancários, registros de planos de saúde e muito mais.
Detalhes do pagamento
Ao examinar o banco de dados Pagamentos e faturas, notamos que o termo “Boleto” apareceu várias vezes, exclusivamente em referência a pedidos brasileiros (o Brasil representa 9,2% do tráfego global da Gearbest).
Refere-se ao Boleto Bancário (literalmente, “Bank Ticket”), um método de pagamento que é regulamentado pela Federação Brasileira de Bancos.
É semelhante ao sistema de pagamento Oxxo usado no México. O Oxxo permite que os usuários criem um voucher que funciona como um cartão de débito, os usuários carregam o valor de sua escolha e podem gastar o que está disponível. Cada voucher possui um código de barras exclusivo; isso dá aos usuários acesso ao dinheiro deles.
No banco de dados que acessamos, os pagamentos feitos usando qualquer um desses métodos incluem um URL para “ebanx”. Esses links mostram os comprovantes ativos usados, completos com seus valores em dinheiro. Os dados também incluem os códigos de barras exclusivos dos vouchers Oxxo e Boleto, essa informação permite que hackers se passem como usuários. Também poderíamos acessar os recibos dos clientes, com suas informações bancárias.
Maiores Detalhes: escândalo envolvendo brinquedo sexual
O conteúdo exato dos pedidos das pessoas é visível no banco de dados de pedidos. A marca, a cor, o tamanho e o custo exatos de cada item podem ser visualizados, juntamente com o nome de usuário e o endereço de entrega.
Em comparação com outras informações disponíveis nesses bancos de dados desprotegidos, isso não parece particularmente chocante. No entanto, o conteúdo das encomendas de algumas pessoas provou ser muito revelador e, em alguns casos, até mesmo com risco de vida.
Escondidos na seção “Vendas” da categoria “Vestuário” da Gearbest, os usuários podem encontrar uma grande variedade de brinquedos sexuais. A natureza do banco de dados aberto da loja significa que os detalhes de suas compras particulares podem rapidamente se tornar de conhecimento público.
Para muitos adultos em todo o mundo, a compra de brinquedos sexuais não é problemática. Por exemplo, as ordens mostradas na imagem abaixo pertencem a pessoas no Brasil e na Grécia.
Esses países têm leis muito permissivas em relação à sexualidade e à homossexualidade. Em termos contextuais, o Brasil sedia a maior parada de orgulho do mundo e as relações entre pessoas do mesmo sexo e são legais na Grécia desde 1951. Embora o conteúdo desses pedidos possa ser embaraçoso para o comprador, a publicação dessas informações não poderia resultar em repercussões legais.
No entanto, este não é o caso em todos os lugares. Ao examinar o banco de dados, nos deparamos com informações de pedido para um usuário paquistanês do sexo masculino.
Este cliente comprou um vibrador de silicone; na verdade, uma inspeção mais aprofundada do banco de dados mostra que ele realmente comprou três. Cada compra inclui informações ligeiramente diferentes, e é por isso que um endereço de rua não aparece na imagem acima.
O Paquistão não desfruta da mesma atitude liberal em relação à sexualidade que muitos países ocidentais apresentam como certo.
As rigorosas leis do país estipulam que o adultério e o sexo antes do casamento são infrações penais puníveis com prisão e multas. As leis religiosas do país também permitem a morte por lapidação ou punição corporal.
Os direitos LGBT são limitados e as mesmas punições são aplicáveis. A comunidade LGBT também sofre com o estigma social, falta de proteção legal e uma sociedade islamizada que impede a aceitação de pessoas LGBT.
Também é importante notar que, culturalmente, é improvável que o próprio comprador tenha feito essa compra para a esposa.
Essas leis fazem do nosso comprador paquistanês um excelente exemplo do motivo pelo qual o banco de dados aberto da Gearbest é tão perigoso. Uma pesquisa simples nos deu seu nome completo, endereço de e-mail, endereço de localização e endereço IP. Uma pesquisa mais detalhada provavelmente poderia nos mostrar sua data de nascimento e senha da conta, permitindo-nos ver suas informações de pedidos anteriores.
Não somos mal-intencionados e compartilhamos essas informações (altamente censuradas) para destacar os perigos desse banco de dados aberto. Outros podem ter intenções muito diferentes. Nas mãos do governo paquistanês, essa informação pode significar uma sentença de morte literal para esse usuário.
Como Gearbest está se prejudicando
A Gearbest está expondo milhões de dados dos usuários. No entanto, a empresa também está se prejudicando.
Os índices que nossos hackers descobriram não são apenas para seus bancos de dados de usuários. Eles também incluíram acesso de URL ao sistema Kafka da Gearbest e do Globalegrow.
O Kafka é um programa de gerenciamento de dados que ajuda grandes corporações a controlar a quantidade de dados do site enviados por meio de cada um de seus servidores. Isso serve a duas finalidades, evita a sobrecarga do servidor e mantém a eficiência, além de permitir que as empresas coletem dados em grande escala.
Esse tipo de acesso permite que hackers mal-intencionados manipulem informações, reatribuam propriedades do banco de dados e até mesmo desabilitem seções inteiras do servidor da empresa. Dependendo da função de cada servidor, isso pode interromper a coleta de dados, a colocação de pedidos e o gerenciamento de estoque e de depósito.
Hacking Ético
Descobrimos essa violação como parte de um projeto de Hacking Ético. Noam Rotem, um conhecido ativista e White Hat (hacker de chapéu branco), juntamente com Ran L. e sua equipe, está executando um projeto de varredura na web que examina os bloqueios de IP e falhas do sistema para vazamentos de dados.
Eles verificaram os proprietários do banco de dados criando, inserindo e identificando dados.
Eles descobriram que o banco de dados inteiro da Globalegrow está desprotegido e, na maioria das vezes, não criptografado. A empresa usa um banco de dados Elasticsearch, que normalmente não é projetado para uso de URL. No entanto, conseguimos acessá-lo por meio do navegador e manipular os critérios de pesquisa de URL para expor até 10.000 esquemas de um único índice a qualquer momento.
Como hackers éticos, somos obrigados a entrar em contato com sites quando descobrimos falhas de segurança. Isso é especialmente verdadeiro quando a violação de dados de uma empresa afeta muitas pessoas. No caso da Gearbest, esse problema afeta centenas de milhares de pessoas todos os dias.
No entanto, essa ética também significa que levamos uma responsabilidade ao público. Os compradores da Gearbest devem estar cientes dos riscos que assumem ao usar um site que não faz esforço para proteger seus usuários.
Nós contatamos repetidamente a Gearbest e a Globalegrow para informá-los sobre essa violação e para deixá-los cientes quando publicaríamos este artigo. Eles tiveram vários dias de aviso prévio. Infelizmente, nossas repetidas tentativas de pedir a essas empresas para intensificarem e protegerem seus usuários não tiveram sucesso. No momento da publicação, ainda estávamos para receber uma resposta.
Fonte: vpnMentor
