Un servidor mal configurado ha sido la causa de la exposición de datos de millones de clientes de Gearbest, de acuerdo a los informes del investigador de seguridad Noam Rotem, publicados por TechCrunch.

Una gran brecha de seguridad expone los datos de millones de clientes de Gearbest

Esta investigación encontró que una gran brecha de seguridad ha dejado expuestos datos de pedidos, pagos y facturas así como la información de los clientes de Gearbest, incluyendo nombres, direcciones IP e información de identificación.

En total se han comprometido más de 1.500 millones de registros. ¿El problema? el servidor no estaba protegido por medio de una contraseña, es decir, cualquiera podía acceder a los datos.

Otro dato preocupante es que no se tiene certeza cuánto tiempo han estado desprotegidos los datos de los clientes de Gearbest, aunque Rotem informó que al menos han estado expuestas un mes.  Rotem explicó que “la base de datos de Gearbest no solo no está asegurada, sino que también proporciona a los agentes potencialmente maliciosos un suministro de datos constantemente actualizado”.

Los datos incluyen detalles de la cuenta, personales y pedidos

Gearbest es uno de los 250 sitios web más importantes del mundo, ofreciendo productos de marcas importantes como Huawei, Intel y Lenovo entre las más de 5.000 compañías chinas disponibles en su sitio web.

La exposición de los clientes de Gearbest es tan grande, que los registros incluían qué es exactamente lo que los clientes han adquirido, cuándo y dónde se enviaron estos artículos. “El contenido de los pedidos de algunas personas ha demostrado ser muy revelador”, aseguró Rotem.

De hecho las órdenes expuestas no solo son una violación de la privacidad de los clientes y un potencial peligro para una suplantación de identidad, sino que de hecho de acuerdo a TechCrunch, podrían poner en peligro a algunos clientes en ciertas partes del mundo, donde la libertad de expresión es limitada.

Un ejemplo de ello es que alguno de los listados incluye pedidos de compras íntimas o juguetes sexuales, lo que llevaría a repercusiones legales en donde las leyes afectan a la vída íntima de las personas. Este ejemplo puede parecernos muy remoto, pero en países como los Emiratos Árabes Unidos y Pakistán, que cuentan con algunas leyes más estrictas, podría ser un gran problema.

La base de datos sigue desprotegida

Si bien Gearbest tiene sede en Shenzhen, cuenta con una extensa presencia en Europa, además de almacenes en España, Polonia, República Checa y Reino Unido, en los que aplican las leyes de privacidad y protección de datos de la Unión Europea (RGPD), con lo que puede ser acreedor a una multa de hasta el 4% de sus ingresos globales.

10 claves sobre el Nuevo Reglamento General de Protección de Datos (GDPR/RGPD) en eCommerce

Este no es el primer problema de seguridad de Gearbest, ya que en diciembre de 2017, la compañía tuvo que confirmar que se habían violado las cuentas de sus usuarios. En esta ocasión Gearbest no ha dado ningún tipo de comunicado al respecto, al menos hasta el momento, y lo peor, tampoco ha tomado medidas para proteger la base de datos de sus usuarios.

Imagen: Depositphotos

Mantente informado de las noticias más relevantes en nuestro canal de Telegram