VPN Mentor a découvert une énorme faille de sécurité affectant les clients Gearbest. Gearbest est un site d’achat international avec des centaines de milliers de clients dans le monde. Il n’est pas largement utilisé en Norvège, mais ils ont des clients norvégiens.

Les hackers mentors VPN pouvaient accéder à différentes parties de la base de données de Gearbest, notamment :

  • Base de données des commandes
    Les données incluent les produits achetés ; adresse de livraison et code postal; nom du client ; adresse e-mail; numéro de téléphone

  • Base de données des paiements et factures
    Les données incluent le numéro de commande ; type de paiement; Informations de paiement; adresse e-mail; Nom; adresse IP

  • Base de données des membres
    Les données incluent le nom ; adresse; date de naissance; numéro de téléphone; adresse e-mail; Adresse IP; informations sur la carte d’identité nationale et le passeport ; mots de passe de compte

Le mentor VPN a accédé à ces bases de données en mars 2019 et a découvert plus de 1,5 million d’enregistrements.

La base de données de Gearbest n’est pas seulement non sécurisée. Il fournit également aux agents potentiellement malveillants un stock de données actualisées en permanence.

Outre la capacité du mentor VPN à accéder à des ensembles complets d’informations personnellement identifiables pour des millions d’utilisateurs, la violation de données soulève plusieurs autres problèmes très graves.

Confidentialité de l’utilisateur

La politique de confidentialité de Gearbest indique que bien qu’ils collectent des informations sur les utilisateurs, c’est dans le but précis de servir leurs clients.

La politique de confidentialité précise également que si les utilisateurs sont responsables de leurs propres mots de passe, ils chiffrer les informations sensibles et utiliser un logiciel de vérification externe pour protéger les clients.

Les données consultées à la suite de ce piratage révèlent que cela est faux. Le mentor VPN a vu beaucoup d’informations sensibles – y compris les adresses e-mail et les mots de passe – qui n’étaient pas du tout cryptées.

De plus, la base de données contient de grandes quantités d’informations personnellement identifiables qui ne sont pas nécessaires pour remplir les fonctions d’un magasin de commerce électronique. Par exemple, une adresse de livraison est cruciale pour l’exécution des commandes. Une adresse IP ne l’est pas.

Ceci est particulièrement préoccupant compte tenu de la tendance actuelle vers un Internet plus ouvert et plus honnête. Les fournisseurs de services de plusieurs secteurs, allant de CyberGhost VPN à Walmart (qui ont tous deux récemment publié des rapports de transparence), s’efforcent d’accroître la transparence pour leurs clients. Les pratiques louches de Gearbest font le contraire.

Gearbest semble enfreindre sa propre politique de confidentialité. Cependant, ce n’est pas le risque le plus important pour la confidentialité des utilisateurs ici.

Sécurité des utilisateurs

Une base de données ouverte remplie d’informations personnelles peut compromettre la sécurité des utilisateurs en ligne. Les records que le mentor VPN a vus ensembles complets de données non cryptées, y compris les adresses e-mail et les mots de passe.

(Il convient de noter que certaines adresses e-mail contenaient du hachage. Le mentor VPN ne sait pas si cela était intentionnel et aurait dû apparaître partout, ou si certaines de leurs données ont été corrompues. Les pirates du mentor VPN pensent qu’il s’agissait d’une mesure de sécurité partiellement mise en œuvre qui ne fait tout simplement pas son travail.)

La capture d’écran ci-dessous montre des extraits de deux ensembles de mentor VPN de données utilisateur récoltés dans la base de données.

Le mentor VPN a pu pour vous connecter à ces deux comptes Gearbest et les exploiter en se faisant passer pour les utilisateurs réels. Leurs pirates pouvaient afficher les commandes en cours et passées, les points Gearbest accumulés et modifier le mot de passe et les détails du compte.

Les pirates pourraient utiliser ces informations pour créer des dommages « locaux » : en accédant aux comptes d’utilisateurs à l’aide de leur adresse e-mail et de leur mot de passe, ils peuvent modifier les commandes des utilisateurs, manipuler les détails du compte et dépenser de l’argent à partir des méthodes de paiement enregistrées.

Cependant, cette information pourrait également être utilisée d’une manière beaucoup plus sinistre. En croisant différentes bases de données, les pirates pourraient facilement voler les clients de Gearbest identités.

Comme on le voit ci-dessous, la base de données des Membres comprend l’adresse IP, l’adresse postale complète, l’adresse e-mail, la date de naissance de cet utilisateur et, plus inquiétant encore, son numéro d’identité nationale.

Selon le pays et les exigences, cela peut être suffisant pour donner aux pirates accès aux portails gouvernementaux en ligne, aux applications bancaires, aux dossiers d’assurance-maladie, et plus.

Détails de paiement

Lors de l’examen de la base de données Paiements et Factures, nous avons remarqué que le terme « Boleto » apparaissait plusieurs fois, exclusivement en référence aux commandes brésiliennes (le Brésil représente 9,2 % du trafic mondial de Gearbest).

Ça fait référence à Boleto Bancario (littéralement, « Billet de banque »), un méthode de paiement réglementée par la Fédération brésilienne des banques.

C’est similaire au système de paiement Oxxo utilisé au Mexique. Oxxo permet aux utilisateurs de créer un bon qui fonctionne comme une carte de débit: les utilisateurs chargent le montant de leur choix et peuvent dépenser ce qui est disponible. Chaque bon comporte un code-barres unique ; cela donne aux utilisateurs l’accès à leur argent.

Dans la base de données à laquelle nous avons accédé, les paiements effectués par l’une ou l’autre de ces méthodes incluent une URL pour « ebanx ». Ces liens montrent les bons actifs utilisés, ainsi que leurs montants en espèces. Les données incluent également les bons Oxxo et Boleto codes-barres uniques. Ces informations permettent aux pirates d’agir comme des utilisateurs réguliers. Le mentor VPN pourrait également accéder aux reçus des clients, avec leurs informations bancaires.

Détails de la commande : scandale des jouets sexuels

Le contenu exact des commandes des personnes est visible dans la base de données Commandes. La marque, la couleur, la taille et le coût exacts de chaque article peuvent tous être consultés, ainsi que le nom d’utilisateur et l’adresse de livraison.

Comparé à d’autres informations disponibles dans ces bases de données non protégées, cela ne semble pas particulièrement choquant. Cependant, le contenu des ordres de certaines personnes s’est avéré très révélateur – et dans certains cas, même potentiellement mortel.

Caché dans la section « Ventes » de la catégorie « Vêtements » de Gearbest, les utilisateurs peuvent trouver une vaste gamme de jouets sexuels. La nature de la base de données ouverte du magasin signifie que les détails de vos achats privés pourraient rapidement devenir publics.

Pour de nombreux adultes à travers le monde, l’achat de jouets sexuels n’est pas problématique. Par exemple, les commandes présentées dans l’image ci-dessous appartiennent à des clients en Grèce et au Brésil.

Ces pays ont des lois très permissives concernant la sexualité et l’homosexualité. Pour le contexte, le Brésil accueille le plus grand défilé de la fierté au monde, et les relations homosexuelles sont légales en Grèce depuis 1951. Bien que le contenu de telles commandes publiées puisse être embarrassant pour l’acheteur, la publication de telles informations ne pourrait pas entraîner répercussions juridiques.

Cependant, ce n’est pas le cas partout. En examinant la base de données, nous sommes tombés sur des informations de commande pour un utilisateur pakistanais de sexe masculin.

Ce client a acheté un gode en silicone ; en fait, une inspection plus poussée de la base de données montre qu’il en a en fait acheté trois. Chaque achat comprend des informations légèrement différentes, c’est pourquoi une adresse postale n’apparaît pas dans l’image ci-dessus.

Le Pakistan ne bénéficie pas de la même attitude libérale envers la sexualité que de nombreux pays occidentaux tiennent pour acquise.

Les lois strictes du pays stipulent que l’adultère et les relations sexuelles avant le mariage sont des infractions pénales, passible d’emprisonnement et d’amendes. Les lois religieuses du pays autorisent également la mort par lapidation ou par châtiment corporel.

Les droits LGBT sont limités et les mêmes sanctions sont applicables

La communauté LGBT souffre également de stigmatisation sociale, d’un manque de protection juridique et d’une société islamisée qui empêche l’acceptation des personnes LGBT.

Il est également intéressant de noter que culturellement, il est peu probable que l’acheteur ait fait cet achat pour sa femme.

Ces lois font de notre acheteur pakistanais un excellent exemple de la raison pour laquelle la base de données ouverte de Gearbest est si dangereuse. Une simple recherche nous a donné son nom complet, son adresse e-mail, son adresse postale et son adresse IP. Une recherche plus détaillée pourrait probablement nous montrer sa date de naissance et le mot de passe de son compte, nous laissant voir les informations de sa commande précédente.

Nous ne sommes pas malveillants et partageons ces informations (hautement censurées) pour souligner les dangers de cette base de données ouverte. D’autres peuvent avoir des intentions très différentes. Entre les mains du gouvernement pakistanais, cette information pourrait signifier une condamnation à mort littérale pour cet utilisateur.

Comment Gearbest se fait du mal

Gearbest expose des millions de données d’utilisateurs. Pourtant, l’entreprise se blesse aussi.

Les indices que les hackers mentors VPN ont découverts ne concernent pas uniquement leurs bases de données d’utilisateurs. Ils comprenaient également un accès URL au système Kafka de Gearbest (et Globalegrow).

Kafka est un programme de gestion de données qui aide les grandes entreprises à contrôler la quantité de données de site envoyées via chacun de leurs serveurs. Cela sert à deux fins : il empêche la surcharge du serveur et maintient l’efficacité, et permet aux entreprises de collecter des données volumineuses.

Ce type d’accès permet aux pirates malveillants de manipuler des informations, de réaffecter des propriétés de base de données et même de désactiver des sections entières du serveur de l’entreprise. Selon la fonction de chaque serveur, cela pourrait perturber la collecte des données, la passation des commandes et la gestion des stocks et des entrepôts.

Piratage éthique

Nous avons découvert cette brèche dans le cadre d’un projet de piratage éthique. Noam Rotem, un activiste et pirate informatique bien connu au chapeau blanc, ainsi que Ran L. et leur équipe, dirigent un projet d’analyse Web qui examine les blocs IP et les trous du système pour détecter les fuites de données.

Ils ont vérifié les propriétaires de la base de données en créer, saisir et identifier Les données.

Ils ont découvert que toute la base de données de Globalegrow est non protégé et surtout non crypté. La société utilise une base de données Elasticsearch, qui n’est généralement pas conçue pour une utilisation d’URL. Cependant, nous avons pu y accéder via un navigateur et manipuler les critères de recherche d’URL en exposant jusqu’à 10 000 schémas à partir d’un seul index à tout moment.

En tant que pirates éthiques, nous sommes obligés d’accéder à des sites Web lorsque nous découvrons failles de sécurité. Cela est particulièrement vrai lorsque la violation de données d’une entreprise affecte autant de personnes – et dans le cas de Gearbest, ce problème affecte des centaines de milliers de personnes chaque jour.

Cependant, cette éthique signifie également que nous avons la responsabilité de le public. Les acheteurs Gearbest doivent être conscients des risques qu’ils prennent lorsqu’ils utilisent un site Web qui ne fait aucun effort pour protéger les clients.

Le mentor VPN a contacté à plusieurs reprises les deux Gearbest et Globalegrow de les informer de cette brèche, et de les laisser savoir quand nous publierions cet article. Ils avaient un préavis de plusieurs jours. Malheureusement, les tentatives répétées du mentor VPN pour demander à ces entreprises d’intensifier et de protéger leurs utilisateurs ont échoué. Au moment de la publication, nous n’avions pas encore reçu de réponse.

Rapports passés

Le mentor VPN a récemment révélé que Dalil avait subi une violation de données massive. Dalil est la plus grande application d’annuaire téléphonique d’Arabie saoudite, et la violation a touché plus de 5 millions d’utilisateurs. Vous pouvez également lire le rapport du mentor VPN sur les fausses applications utilisées en Iran pour surveiller les utilisateurs, le rapport sur les fuites VPN et le rapport sur les statistiques de confidentialité des données.

Veuillez partager le rapport original sur Facebook ou tweetez-le.

© Mentor VPN #La Norvège aujourd’hui

Articles et liens connexes

Critique de CyberGhost
Guide de sécurité sur Internet pour les femmes
Comment éviter les escroqueries d’ingénierie sociale
30% ignorant les dangers du Wi-Fi