Una vulnerabilidad descubierta por los hackers de sombrero blanco, VPNMentor, revela cientos de miles de cuentas afectadas que incluyen bases de datos de órdenes de compra, de pagos y mensajes de voz, además de datos sobre los miembros que hacen vida en la compañía china de e-commerce.
Gearbest es conocido por ser una especie de Amazon para productos electrónicos de marcas chinas tan reconocidas como OnePlus y de otras más locales. También es dueña de Globalegrow, otra tienda electrónica en la que operan otras compañías conocidas como DressLily. Tras el hallazgo de VPNMentor, se conoce que todas estas compañías están completamente sin seguridad.
Pero esto va más allá de que la base de datos sea vulnerable, pues en añadido, “también provee a potenciales agentes maliciosos con datos frescos constantemente actualizados”, según mencionan en la página de VPNMentor, en la que también mencionan que estudiaron 1.5 millones de registros en marzo de este año.
¿Qué tipo de información está comprometida?
Para comenzar, es necesario conocer que Gearbest sí recolecta información de sus usuarios, aunque la compañía especifica que es únicamente para servir a sus clientes, y que, además resguardan ciertos datos bajo encriptación y emplean software de verificación para proteger a sus usuarios.
Sin embargo, eso es lo que dice Gearbest, pero lo que descubrió VPNMentor demuestra lo contrario, pues el equipo de investigación encontró información delicada que incluía direcciones de correo y contraseñas completamente sin encriptar, como se muestra en la imagen a continuación:
Además, esta gran base de datos contiene grandes cantidades de información relacionada con la identidad de los usuarios, y aunque de por sí este caso parece bastante delicado, hay otros puntos más preocupantes que rondan esta vulnerabilidad.
Identidades en peligro
Los hackers de VPNMentor lograron ingresar a dos cuentas de usuarios e interactuar como si fueran los dueños, incluso pudieron ver sus órdenes de compra, sus puntos de Gearbest e incluso modificar información como contraseña y otros detalles de cuenta.
Aunque los investigadores destacaron que la información podría utilizarse para sabotear internamente la plataforma, sostienen que pueden utilizarse para robar las identidades de los clientes, teniendo información como nada menos que: dirección IP, dirección postal, email, fecha de nacimiento y número de documento de identidad.
Estos datos son más que suficientes para acceder a plataformas bancarias, gubernamentales e incluso de seguro. Los hackers podrían cometer todo tipo de delitos con esta información en mano.
A pesar de que Gearbest está mayormente radicado en China, las repercusiones de esta vulnerabilidad llegan hasta usuarios mexicanos y brasileros. Tal como podemos ver en el detallado reporte de VPNMentor, la base de datos a la que se tuvo acceso contiene los recibos de pago de bancos como Oxxo (México) e Itaú (Brasil) en los que aparecen incluso los códigos de barra únicos de cada usuario, por lo que los hackers podrían suplantar a los clientes sin ningún problema.
Este tipo de reportes debe volvernos unos consumidores y usuarios más cautos con la manera en que damos nuestros datos en internet, pues no solo puede verse afectada por el hackeo de actores maliciosos, sino que una simple vulnerabilidad podría permitir que millones de datos de usuarios queden expuestos, comprometiendo incluso su vulnerabilidad.