Su base de datos Elasticsearch era accesible desde Internet sin necesitar ninguna contraseña, tan solo conectándose a su ip. Se puede haber filtrado: historial de compras, artículos, dirección postal, correo, fecha de nacimiento, número de identificación (NIF y similares etc..), métodos de pago, contraseña, etc... Todo lo que almacenan. Lo peor es que, supuestamente y tal como indican en su cláusula de privacidad, deberían guardar los datos más sensibles de manera cifrada y hasta la contraseña estaba guardada en texto plano.
Comentarios
No es precisamente una web pequeña de compras online... Es una web bastante popular para comprar artículos made in china, del estilo aliexpress, dx o banggood. Encima parece que el investigador les ha contactado varias veces y no ha recibido respuesta, mientras la base de datos sigue expuesta...
[...] We repeatedly contacted both Gearbest and Globalegrow to inform them of this breach, and to let them when we would be publishing this article. They had several days’ notice. Unfortunately, our repeated attempts to ask these companies to step up and protect their users have been unsuccessful. At the time of publication, we were yet to receive a response. [...]
La fuente original (en inglés): https://www.vpnmentor.com/blog/gearbest-hack/
Otra fuente también en castellano: https://www.muyseguridad.net/2019/03/15/fuga-masiva-de-datos-en-gearbest-cambia-ya-tu-contrasena/
No es moco de pavo lo sucedido: [...] Gearbest se encuentra entre las 250 mayores webs del mundo [...]
Otro portal que se hace eco: https://blog.segu-info.com.ar/2019/03/divulgacion-masiva-de-datos-en-gearbest.html
Se hicieron eco también en hispasec: https://unaaldia.hispasec.com/2019/03/gran-brecha-de-seguridad-en-gearbest-expone-datos-de-millones-de-usuarios.html
Artículo de la respuesta de Gearbest: https://tecnonucleous.com/2019/03/17/gearbest-responde-sobre-la-fuga-de-datos-de-elasticsearch/