Popular tienda para marcas de China GearBest es hackeable

Popular tienda para marcas de China GearBest es hackeable




Mientras redacto esto, estoy tratando que el pánico no se apodere de mí pues mi Xiaomi Mi 8 fue conseguido a través de GearBest, tienda que por años se ha distinguido en ser la opción más cercana de conseguir equipos de marcas que no llegan a nuestro mercado directamente, la mayoría de ellos de China.

Lamentablemente hoy me encuentro con la sorpresa donde un grupo de hackers éticos (hackers que reportan fallas de seguridad y no aceptan recompensa por lo general) llamado VPNMentor publicó un informe que detalla que GearBest está vulnerable a ser hackeado y lo peor de todo, una vez a dentro, el hacker puede hacer y deshacer.

Aunque no revelaron como lograron la intrusión, el grupo afirma que logró acceso para el Marzo 2019 y esto incluyo una no muy difícil mirada a la base de datos donde cosas que deberían estar encriptadas, pues no lo están y si lo están está a medias.

Los datos que se pudieron observar, son los perfiles de los usuarios, su historial de compras, la base de datos de compras directamente y la de los métodos de pago.

Una de las graves cosas es que el grupo afirma que logró tomar el control de dos cuentas y que las mismas pueden hacer comprar y prácticamente hacerse pasar por los mismos clientes dueños de esas mismas cuentas.

Notaron que sí, GearBest tiene en sus términos de uso del servicio el recopilar información, el problema es que VPNMentor confirmaron que NO la están protegiendo, puesto que mucha información de usuarios estaba legible, incluyendo información personal.

Sobre el sistema de pago, los hacker dijeron que lograron hacer “tickets” de cobro y esto pone en peligro a la misma empresa, puesto que si un usuario necesita un favor de un hacker, puede hacer electrónicamente créditos a favor del usuario como ejemplo sencillo.

Otra cosa que le preocupa a VPNMentor es que un sistema interno de la empresa matriz o madre de GearBest está abiertamente concadenada con el sistema y esto puede también traer problemas internos de grandes proporciones.

VPNMentor asegura que publicó la información luego que GearBest no respondiera a su llamado de que tienen problemas y estaban dispuestos a ayudar, pero realmente no hubo nunca respuesta.

Lamentablemente, no es la primera vez que el comercio con muchas oficinas satélite para la coordinación de envíos internacionales pero con sede principal en China, ha estado en el ojo público sobre temas de protección de información cuando a finales del 2017 fue víctima de hackers que lograron extraer nombres de usuarios y emails.

NO HAY REPORTES de una explotación maliciosa mientras redacto esto pero de igual manera… ¿Qué pasos se debe tomar (YO INCLUIDO) si eres cliente de GearBest (¡¡COMO YO!!)?


Si abriste una cuenta directamente con GearBest, lo primero que tienes que hacer es cambiar tu contraseña, pero si entraste a GeaBest a través de otra plataforma, por ejemplo usando tu credencial de Google, estas técnicamente bien si no pusiste mucho detalle en tu perfil de GearBest, aunque si debería estar tu email legible. Pero no estaría mal que si no vas hacer compra ahora mismo pues no trates de vincular la cuenta y cambia la de Google por si acaso.

Si usaste físicamente tu tarjeta de crédito, sería mejor que le pidas a tu banco que cambie tu tarjeta de crédito para que anulen la que tienes actualmente y en una nueva ocasión, trata de usar a PayPal como método de pago, puesto que PayPal no comparte información financiera tuya, sino una confirmación de software para GearBest, que el dinero existe y se le será dado.


ACTUALIZADO

El día de ayer ( 15 de Marzo), GearBest respondió a Android Police lo siguiente:


Immediately upon being aware of this incident, our security experts have initiated an investigation to verify the allegations made by Mr. Noam Rotem. While we found that all our own established databases or servers used for storing or processing Data are protected with all necessary encryption measures and are absolutely safe, some of the external tools we use to temporarily store Data may have been accessed by others and therefore Data security may have been compromised.
The external tools we use are intended to improve efficiency and prevent data overload and the Data will only be stored in such tools for less than 3 calendar days before it is automatically destroyed. Considering possible data security breaches, we protected those tools with powerful firewalls to avoid any such data being compromised by malicious scanning from others. However, our investigation reveals that on March 1st, 2019, such firewalls were mistakenly taken down by one of our security team members for reasons still being under investigation. Such unprotected status has directly exposed those tools for scanning and accessing without further authentication.
Currently, we believe this may have affected our newly registered customers as well as our old customers who placed orders with Gearbest during the time from March 1st 2019 to March 15th, 2019, in a total number of about 280,000. Fortunately, the irregularity has been fixed by us within two hours immediately after detecting it and we will further strengthen our internal security management to avoid such incident from happening again.
We truthfully apologize for what happened. In addition to what we have done mentioned above, we will be urgently carrying out measures to inactivate the passwords of those newly registered customers for avoidance any illegal login to their accounts and will also send email to all affected customers for updating the situation.


En resumidas cuentas, la empresa asegura que lo que se logró acceder es una plataforma externa para lograr redundancia y alta disponibilidad a las soluciones internas de la empresa y que las internas están debidamente protegidas.

Admitieron que se supone que las plataformas internas estuvieran también con un Firewall y con sus parámetros de seguridad activada, no obstante, están investigando el por qué un miembro del equipo de seguridad desactivó la seguridad el 1 de Marzo y no lo subió de nuevo.

Publicar un comentario

0 Comentarios