La semaine dernière, un hacker white hat a partagé sur le blog de vpnMentor ses trouvailles au sujet d'une fuite de données affectant Gearbest, et en mettant l'accent sur " une base de données complètement non sécurisée. "

Selon Noam Rotem et vpnMentor, un serveur Elasticsearch contenant des enregistrements de clients de Gearbest était en quelque sorte en libre accès avec la bonne URL. Les chercheurs en sécurité disent avoir été en mesure d'accéder à plus de 1,5 million d'enregistrements.

Parmi les données exposées, via un accès à différentes parties de la base de données, les commandes de clients, les paiements et factures, diverses informations sur les membres. Qui plus est, certaines informations jugées sensibles n'étaient pas chiffrées comme elles auraient dû l'être.

vpnMentor s'interroge par ailleurs sur la présence de certaines données n'étant pas nécessaires à une transaction d'e-commerce. " La base de données de Gearbest n'est pas seulement non sécurisée. Elle fournit également aux agents potentiellement malveillants une source constamment mise à jour de données fraîches. "

À la suite de ce rapport inquiétant, Gearbest a réagi dans une publication sur son compte Facebook. Selon Gearbest, ses propres bases de données ou serveurs pour le stockage ou traitement des données sont " absolument sûrs ", mais " certains outils externes utilisés afin de stocker temporairement des données " ont pu mener à une compromission de données.

De tels outils externes serviraient à améliorer l'efficacité et pour prévenir des situations de surcharge de données. Les données n'y seraient stockées que pendant moins de trois jours avant suppression automatique.

Normalement, de " puissants " pare-feux (firewalls) sont censés éviter que les données ne puissent faire l'objet d'un scan malveillant. " Notre enquête révèle que le 1er mars 2019, de tels firewalls ont été retirés par erreur par l'un des membres de notre équipe de sécurité ", écrit Gearbest.

Selon Gearbest, la fuite de données aurait affecté les clients inscrits ou ayant passé des commandes entre le 1er mars et le 15 mars 2019. Le nombre total d'enregistrements exposés serait d'environ 280 000.

Gearbest présente ses excuses et ajoute que des mesures d'urgence ont été prises pour désactiver les mots de passe des nouveaux clients concernés. Ils seront prévenus par email.