![\"\"](\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/1-1-768x403.jpg\")
<\/div>\n<\/div>\nO vpnMentor revelou exclusivamente, que o banco de dados da Gearbest \u00e9 completamente inseguro, bem como as que pertencem \u00e0s suas empresas-irm\u00e3s.<\/p>\n
Viola\u00e7\u00e3o de dados possibilita que hackers possam acessar diferentes partes do banco de dados da Gearbest, incluindo:<\/p>\n
Banco de dados de pedidos<\/strong><\/p>\n Dados incluem produtos comprados, endere\u00e7o de envio e c\u00f3digo postal, nome do cliente, endere\u00e7o de e-mail e n\u00famero de telefone.<\/p>\n Banco de dados de pagamentos e faturas<\/strong><\/p>\n Dados incluem o n\u00famero do pedido, tipo de pagamento, Informa\u00e7\u00e3o de pagamento, endere\u00e7o de e-mail, nome e endere\u00e7o de IP.<\/p>\n Banco de dados de membros<\/strong><\/p>\n Dados incluem nome, endere\u00e7o, data de nascimento, n\u00famero de telefone, endere\u00e7o de e-mail, Endere\u00e7o de IP, informa\u00e7\u00f5es nacionais sobre identidade, passaporte e senhas de conta.<\/p>\n Estes bancos de dados foram acessados em mar\u00e7o de 2019, revelando mais de 1,5 milh\u00e3o de registros.<\/p>\n O banco de dados da Gearbest n\u00e3o \u00e9 apenas inseguro. Tamb\u00e9m est\u00e1 fornecendo agentes mal-intencionados com um suprimento constantemente atualizado de dados novos.<\/p>\n Problemas de seguran\u00e7a<\/strong><\/p>\n Al\u00e9m da nossa capacidade de acessar conjuntos completos de informa\u00e7\u00f5es pessoalmente identific\u00e1veis \u200b\u200bpara milh\u00f5es de usu\u00e1rios, a viola\u00e7\u00e3o de dados da Gearbest levanta v\u00e1rios outros problemas muito s\u00e9rios.<\/p>\n Seguran\u00e7a do usu\u00e1rio<\/strong><\/p>\n Um banco de dados aberto, preenchido com informa\u00e7\u00f5es pessoais, pode comprometer a seguran\u00e7a on-line dos usu\u00e1rios. Os registros que vimos mostram conjuntos completos de dados n\u00e3o criptografados, incluindo endere\u00e7os de e-mail e senhas.<\/p>\n (Vale a pena notar que alguns endere\u00e7os de e-mail continham algum hash. N\u00e3o sabemos se isso foi intencional e deveria ter aparecido em todos os lugares, ou se alguns de seus dados foram corrompidos. Nossos hackers acreditam que foi uma medida de seguran\u00e7a parcialmente implementada que \u00e9 simplesmente n\u00e3o fazer o devido trabalho, de forma correta.)<\/p>\n A captura de tela abaixo mostra trechos de dois conjuntos de dados do usu\u00e1rio que coletamos do banco de dados.<\/p>\n Conseguimos fazer login nessas duas contas da Gearbest e oper\u00e1-las como se f\u00f4ssemos usu\u00e1rios. Poder\u00edamos visualizar os pedidos atuais e anteriores, acumular pontos da Gearbest e alterar a senha e os detalhes da conta.<\/p>\n Os hackers podem usar essas informa\u00e7\u00f5es para criar danos \u201clocais\u201d, acessando contas de usu\u00e1rios usando seus e-mails e senhas, eles podem alterar pedidos de usu\u00e1rios, manipular detalhes de contas e gastar dinheiro com m\u00e9todos de pagamento salvos.<\/p>\n No entanto, essa informa\u00e7\u00e3o tamb\u00e9m pode ser usada de uma maneira muito mais sinistra. Ao fazer refer\u00eancia cruzada a diferentes bancos de dados, os hackers poderiam facilmente roubar as identidades dos clientes da Gearbest.<\/p>\n Como visto abaixo, o banco de dados de Membros inclui o endere\u00e7o IP desse usu\u00e1rio, endere\u00e7o postal completo, endere\u00e7o de e-mail, data de nascimento e, mais preocupantemente, o seu n\u00famero de identidade nacional.<\/p>\n Dependendo do pa\u00eds e dos requisitos, isso pode ser uma informa\u00e7\u00e3o suficiente para dar aos hackers acesso a portais governamentais on-line, aplicativos banc\u00e1rios, registros de planos de sa\u00fade e muito mais.<\/p>\n Detalhes do pagamento<\/strong><\/p>\n Ao examinar o banco de dados Pagamentos e faturas, notamos que o termo \u201cBoleto\u201d apareceu v\u00e1rias vezes, exclusivamente em refer\u00eancia a pedidos brasileiros (o Brasil representa 9,2% do tr\u00e1fego global da Gearbest).<\/p>\n Refere-se ao Boleto Banc\u00e1rio (literalmente, \u201cBank Ticket\u201d), um m\u00e9todo de pagamento que \u00e9 regulamentado pela Federa\u00e7\u00e3o Brasileira de Bancos.<\/p>\n \u00c9 semelhante ao sistema de pagamento Oxxo usado no M\u00e9xico. O Oxxo permite que os usu\u00e1rios criem um voucher que funciona como um cart\u00e3o de d\u00e9bito, os usu\u00e1rios carregam o valor de sua escolha e podem gastar o que est\u00e1 dispon\u00edvel. Cada voucher possui um c\u00f3digo de barras exclusivo; isso d\u00e1 aos usu\u00e1rios acesso ao dinheiro deles.<\/p>\n No banco de dados que acessamos, os pagamentos feitos usando qualquer um desses m\u00e9todos incluem um URL para “ebanx”. Esses links mostram os comprovantes ativos usados, completos com seus valores em dinheiro. Os dados tamb\u00e9m incluem os c\u00f3digos de barras exclusivos dos vouchers Oxxo e Boleto, essa informa\u00e7\u00e3o permite que hackers se passem como usu\u00e1rios. Tamb\u00e9m poder\u00edamos acessar os recibos dos clientes, com suas informa\u00e7\u00f5es banc\u00e1rias.<\/p>\n Maiores Detalhes: esc\u00e2ndalo envolvendo brinquedo sexual<\/strong><\/p>\n O conte\u00fado exato dos pedidos das pessoas \u00e9 vis\u00edvel no banco de dados de pedidos. A marca, a cor, o tamanho e o custo exatos de cada item podem ser visualizados, juntamente com o nome de usu\u00e1rio e o endere\u00e7o de entrega.<\/p>\n Em compara\u00e7\u00e3o com outras informa\u00e7\u00f5es dispon\u00edveis nesses bancos de dados desprotegidos, isso n\u00e3o parece particularmente chocante. No entanto, o conte\u00fado das encomendas de algumas pessoas provou ser muito revelador\u00a0 e, em alguns casos, at\u00e9 mesmo com risco de vida.<\/p>\n Escondidos na se\u00e7\u00e3o “Vendas” da categoria “Vestu\u00e1rio” da Gearbest, os usu\u00e1rios podem encontrar uma grande variedade de brinquedos sexuais. A natureza do banco de dados aberto da loja significa que os detalhes de suas compras particulares podem rapidamente se tornar de conhecimento p\u00fablico.<\/p>\n Para muitos adultos em todo o mundo, a compra de brinquedos sexuais n\u00e3o \u00e9 problem\u00e1tica. Por exemplo, as ordens mostradas na imagem abaixo pertencem a pessoas no Brasil e na Gr\u00e9cia.<\/p>\n Esses pa\u00edses t\u00eam leis muito permissivas em rela\u00e7\u00e3o \u00e0 sexualidade e \u00e0 homossexualidade. Em termos contextuais, o Brasil sedia a maior parada de orgulho do mundo e as rela\u00e7\u00f5es entre pessoas do mesmo sexo e s\u00e3o legais na Gr\u00e9cia desde 1951. Embora o conte\u00fado desses pedidos possa ser embara\u00e7oso para o comprador, a publica\u00e7\u00e3o dessas informa\u00e7\u00f5es n\u00e3o poderia resultar em repercuss\u00f5es legais.<\/p>\n No entanto, este n\u00e3o \u00e9 o caso em todos os lugares. Ao examinar o banco de dados, nos deparamos com informa\u00e7\u00f5es de pedido para um usu\u00e1rio paquistan\u00eas do sexo masculino.<\/p>\n Este cliente comprou um vibrador de silicone; na verdade, uma inspe\u00e7\u00e3o mais aprofundada do banco de dados mostra que ele realmente comprou tr\u00eas. Cada compra inclui informa\u00e7\u00f5es ligeiramente diferentes, e \u00e9 por isso que um endere\u00e7o de rua n\u00e3o aparece na imagem acima.<\/p>\n O Paquist\u00e3o n\u00e3o desfruta da mesma atitude liberal em rela\u00e7\u00e3o \u00e0 sexualidade que muitos pa\u00edses ocidentais apresentam como certo.<\/p>\n As rigorosas leis do pa\u00eds estipulam que o adult\u00e9rio e o sexo antes do casamento s\u00e3o infra\u00e7\u00f5es penais pun\u00edveis com pris\u00e3o e multas. As leis religiosas do pa\u00eds tamb\u00e9m permitem a morte por lapida\u00e7\u00e3o ou puni\u00e7\u00e3o corporal.<\/p>\n Os direitos LGBT s\u00e3o limitados e as mesmas puni\u00e7\u00f5es s\u00e3o aplic\u00e1veis. A comunidade LGBT tamb\u00e9m sofre com o estigma social, falta de prote\u00e7\u00e3o legal e uma sociedade islamizada que impede a aceita\u00e7\u00e3o de pessoas LGBT.<\/p>\n Tamb\u00e9m \u00e9 importante notar que, culturalmente, \u00e9 improv\u00e1vel que o\u00a0 pr\u00f3prio comprador tenha feito essa compra para a esposa.<\/p>\n Essas leis fazem do nosso comprador paquistan\u00eas um excelente exemplo do motivo pelo qual o banco de dados aberto da Gearbest \u00e9 t\u00e3o perigoso. Uma pesquisa simples nos deu seu nome completo, endere\u00e7o de e-mail, endere\u00e7o de localiza\u00e7\u00e3o e endere\u00e7o IP. Uma pesquisa mais detalhada provavelmente poderia nos mostrar sua data de nascimento e senha da conta, permitindo-nos ver suas informa\u00e7\u00f5es de pedidos anteriores.<\/p>\n N\u00e3o somos mal-intencionados e compartilhamos essas informa\u00e7\u00f5es (altamente censuradas) para destacar os perigos desse banco de dados aberto. Outros podem ter inten\u00e7\u00f5es muito diferentes. Nas m\u00e3os do governo paquistan\u00eas, essa informa\u00e7\u00e3o pode significar uma senten\u00e7a de morte literal para esse usu\u00e1rio.<\/p>\n Como Gearbest est\u00e1 se prejudicando<\/strong><\/p>\n A Gearbest est\u00e1 expondo milh\u00f5es de dados dos usu\u00e1rios. No entanto, a empresa tamb\u00e9m est\u00e1 se prejudicando.<\/p>\n Os \u00edndices que nossos hackers descobriram n\u00e3o s\u00e3o apenas para seus bancos de dados de usu\u00e1rios. Eles tamb\u00e9m inclu\u00edram acesso de URL ao sistema Kafka da Gearbest e do Globalegrow.<\/p>\n O Kafka \u00e9 um programa de gerenciamento de dados que ajuda grandes corpora\u00e7\u00f5es a controlar a quantidade de dados do site enviados por meio de cada um de seus servidores. Isso serve a duas finalidades, evita a sobrecarga do servidor e mant\u00e9m a efici\u00eancia, al\u00e9m de permitir que as empresas coletem dados em grande escala.<\/p>\n![\"\"](\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/passwords-1024x108.jpg\")
<\/p>\n![\"\"](\"https:\/\/www.vpnmentor.com\/wp-content\/uploads\/2019\/03\/log_user_data.jpg\")
<\/a><\/p>\n<\/p>\n<\/a><\/p>\n<\/p>\n<\/p>\n