Gearbest : une faille de sécurité expose les noms, adresses et numéros de téléphone des clients

Gearbest laisse une faille de sécurité rendre accessibles les données personnelles de ses clients à quasiment n’importe qui. Le site de commerce stocke des informations sensibles comme les noms, adresses, numéros de téléphone voire numéros de passeport des utilisateurs dans une banque de données non sécurisée.

gearbest faille de sécurité

Le site de commerce en ligne chinois Gearbest, bien connu des consommateurs pour les bas prix qui peuvent y être pratiqués, a exposé les données personnelles de millions de comptes clients et des millions de commandes. Des chercheurs en sécurité informatique ont repéré une importante vulnérabilité dans le système du revendeur, relaie TechCrunch.

Gearbest : une faille de sécurité expose les données personnelles des comptes

Une faille de sécurité qui prend la forme d’un serveur non protégé par lequel transitent chaque semaine des millions d’informations et de transactions : données personnelles fournies par les utilisateurs (noms, adresses, numéros de téléphone), numéros de commandes, produits achetés et même archives de paiement, rapporte le chercheur en cybersécurité Noam Rotem. TechCrunch explique avoir contacté Gearbest quant à cette brèche, le média n’a reçu aucune réponde et celle-ci n’a toujours pas été comblée.

TechCrunch est allé consulter cette base de données quasiment laissée en libre-service, et a pu constater lui-même les dégâts. Il est possible de retrouver exactement ce que les consommateurs ont acheté, quand et où la livraison a été effectuée. Les journalistes sont même tombés sur des numéros sur des numéros de passeport ou de carte nationale d’identité.

« Non seulement les commandes exposées constituent une violation de la vie privée des clients, mais elles pourraient également mettre en danger des personnes dans des régions du monde où la liberté est limitée. Certains achats concernant des sextoys ou objets intimes, par exemple, pourraient avoir des conséquences graves dans les pays où les relations LGBTQ + ou les relations sexuelles avant le mariage sont prohibées », rappelle le média.

On attend désormais deux choses de Gearbest : qu’il corrige cette faille de sécurité béante au plus vite et qu’il s’en explique auprès des consommateurs, voire des autorités.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Téléchargez GHIDRA et prenez vous pour un espion de la NSA

Le logiciel GHIDRA utilisé par la NSA pour repérer et contrer des programmes malveillants est désormais disponible gratuitement pour tous. Open-source, il peut même être amélioré par la communauté.  Comme promis, la National Security Agency (NSA) des États-Unis a rendu…

CMS : 90% des sites web piratés utilisent WordPress

90% des sites web piratés utilisant un CMS tournent sous WordPress d’après Sucuri, une entreprise spécialisée en sécurité web. Les sites e-commerce sont particulièrement prisés des hackers pour la simple raison qu’ils permettent d’accéder aux données bancaires des utilisateurs. Ce…

Windows : le nombre d’attaques phishing a explosé en 2018

Microsoft révèle dans son rapport Security Intelligence Report 2018 quelle cybermenaces ont visé l’écosystème Windows au cours de l’année passée. Le nombre d’attaques phishing a explosé de 150% tandis que le nombre de ransomware est en déclin. Globalement, le rapport relève…

Chrome : 85% des extensions se moquent de votre vie privée

Une étude Duo Labs autour des extensions Chrome révèle que 85% d’entre elles n’ont aucune politique en matière de vie privée – un document qui explique clairement comment vos données seront utilisées en cas de collecte. Pour en arriver à…

Attention, ce câble USB peut pirater n’importe quel ordinateur

Ce câble USB modifié permet à un attaquant de pirater n’importe quel ordinateur. Conçu par un chercheur en cybersécurité, cet accessoire peut réagir à des commandes à distance transmises par un pirate. Bientôt produit en masse, il est destiné à mettre en garde le grand public…

Pourquoi il ne faut pas mettre sa date d’anniversaire sur internet

Une date d’anniversaire peut sembler être une information publique. Les dates d’anniversaire sont pourtant utilisées dans de nombreux services du web et peuvent être mises à parti par des pirates pour accéder à des informations sensibles comme votre compte en…