Il noto sito di ecommerce Gearbest è il protagonista di brutta storia che è stata pubblicata quest’oggi da vpnMentor.
Il conosciuto white hat hacker Noam Rotem afferma di aver scoperto un importante problema di sicurezza che affliggerebbe i database utilizzati per tutte le operazioni di gestione degli ordini e degli account degli utenti.
Nell’analisi pubblicata a questo indirizzo si spiega che è stato possibile accedere ad oltre 1,5 milioni di record relativi agli iscritti, agli ordini, ai pagamenti e alle fatture emesse.
vpnMentor mostra un estratto delle informazioni accessibili e spiega che un aggressore può sottrarre dati personali degli utenti, modificarli e addirittura impersonificare l’identità altrui su Gearbest.
Il problema è grave perché se da un lato Gearbest, nella sua policy sulla privacy, dichiara di crittografare tutte le informazioni sensibili, quanto sostiene vpnMentor dimostrerebbe l’esatto contrario. Addirittura le password sembrano essere memorizzate in chiaro, insieme con indirizzi email, nomi e cognomi, indirizzi di residenza, date di nascita, numeri di telefono, informazioni sui pagamenti e addirittura informazioni contenute nei documenti di identità.
Questa enorme mole di informazioni è da considerarsi estremamente pericolosa se dovesse cadere nelle mani “sbagliate”: i dati potrebbero essere infatti riutilizzati per sferrare attacchi phishing, forzare l’accesso su altri siti web spacciandosi per un altro utente o mettere in atto veri e propri furti d’identità.
Su vpnMentor si spiega anche che molti utenti hanno ordinato oggetti per adulti facendo riferimento a Gearbest: non tutti sanno che in alcuni Paesi (come ad esempio il Pakistan) queste attività – in alcune circostanze – costituiscono reato e possono essere punite con un’ammenda o addirittura con il carcere. Un’eventuale estrazioni e diffusione dei nomi e cognomi degli acquirenti che hanno fatto questo tipo di spese può quindi rappresentare ben più di una semplice fonte di imbarazzo.
Noam Rotem e gli altri collaboratori di vpnMentor chiamano in causa anche Global Egrow, società cinese che conta migliaia di dipendenti e che controlla, oltre a Gearbest, anche altri famosi siti di ecommerce. Secondo gli hacker, l’intera piattaforma di Global Egrow non sarebbe stata messa in sicurezza ed esporrebbe i dati gestiti in forma non crittografata. Un utente malintenzionato avrebbe addirittura la possibilità di intervenire direttamente sulla configurazione dei server e causare problemi all’intera infrastruttura.