Les données de milliers d'utilisateurs de Gearbest auraient été dévoilées

Gearbest est l'un des magasins en ligne les plus populaires au monde. Spécialisée dans les produits informatiques et électroniques d'origine chinoise, avec un accent sur les smartphones, elle a grimpé ces dernières années dans le classement de popularité. Cependant, il semble que les précautions nécessaires n'aient pas été prises et les données de milliers, voire de millions d'utilisateurs, auraient été dévoilées.

Les données des utilisateurs de Gearbest exposées

Selon les recherches effectuées par l'équipe VPNMentor, leurs propres pirates ont pu accéder à diverses bases de données Gearbest liées aux commandes, aux paiements et aux informations générales sur les utilisateurs qui sont répertoriées comme "complètement sécurisées".

Le rapport note qu'au moins 1, 5 million de données auraient été exposées à des pirates. Pendant ce temps, Gearbest estime que 280 000 utilisateurs auraient été touchés.

Parmi les informations qui auraient été consultées figurent les noms, les numéros d'identification, les numéros de passeport, l'historique des commandes, les adresses d'expédition, les détails de paiement, les adresses e-mail et les mots de passe.

L'équipe affirme avoir pu accéder à ces informations plus tôt ce mois-ci, ajoutant qu'elle a découvert "plus de 1, 5 million d'enregistrements". De plus, l'équipe a déclaré qu'elle avait contacté à plusieurs reprises Gearbest et sa société mère pour les informer de ce problème de sécurité, mais n'avait reçu aucune réponse.

Gearbest: "les outils de gestion de données tiers sont à blâmer pour les faits"

Le détaillant en ligne a finalement publié une déclaration sur le site Web spécialisé Android Police . Dans cette déclaration, la société affirme que ses propres bases de données et serveurs sont "absolument sûrs". Ainsi, Gearbest jette des balles en proposant que ce soient les outils de gestion de données tiers qui auraient pu être violés.

"Les outils externes que nous utilisons sont destinés à améliorer l'efficacité et à éviter la surcharge de données, et les données ne sont stockées dans ce type d'outil que moins de trois jours civils avant d'être automatiquement détruites", explique le site Web, assurant que des "pare-feu puissants" sont utilisés pour protéger ces outils.

Cependant, notre enquête révèle que le 1er mars 2019, ces types de pare-feu ont été violés par l'un des membres de notre équipe de sécurité pour des causes qui font toujours l'objet d'une enquête. Une telle situation non protégée a directement exposé ces outils de numérisation et d'accès sans authentification supplémentaire."

Gearbest estime que les utilisateurs concernés sont limités à environ 280 000. De même, ces utilisateurs concernés seraient ceux qui ont effectué un achat sur le site Web entre le 1er et le 15 mars. À titre de mesure plus immédiate, Gearbest a annoncé qu'elle procédait à l'envoi d'un e-mail informatif à tous les utilisateurs concernés, tout en désactivant les mots de passe des utilisateurs nouvellement enregistrés.

Comme cela est assuré par l'Autorité Android, ce n'est pas la première fois que Gearbest est plongé dans une situation similaire dans laquelle les données des utilisateurs et des clients sont mises en danger. En décembre 2017, au moins 150 inscriptions d'utilisateurs ont été publiées sur Internet. Au moment de cet incident, le site a déclaré que les pirates informatiques étaient susceptibles d'avoir acheté ou acquis des informations de connexion utilisateur sur d'autres sites Web et utilisaient ces informations pour tenter de se connecter aux comptes Gearbest.

Police d'autorité Android