Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Gearbest : très importante fuite de données, la société fait l'autrucheCrédits : TommL/iStock

Le chercheur en sécurité Naom Rotem a trouvé un serveur Elasticsearch « laissant fuiter des millions d’enregistrements chaque semaine, y compris des données, commandes et dossiers de paiements de ses clients », comme le rapporte TechCrunch. Certaines informations semblent chiffrées (ou corrompues), mais c'est loin d'être le cas général.

Nos confrères ont examiné une partie de la base de données et ont constaté qu'elle contenait « exactement ce que les clients avaient acheté, quand et aussi où les articles avaient été livrés ». Adresses IP et postale, email, nom, date de naissance, numéro de carte d'identité, etc. sont autant d'éléments présents.

Il suffit de connaître l'URL puisque l'accès au serveur n'est pas protégé par le moindre mot de passe. Bien évidemment, le chercheur et nos confrères ont essayé de contacter la société, sans aucune réponse pour le moment. Pire, le serveur est toujours accessible.

Noam Rotem et l'équipe de VPNMentor expliquent avoir décidé de publier leur article malgré le fait que le serveur ne soit toujours pas sécurisé pour informer les clients que leurs commandes peuvent être dévoilées sur Internet, avec les risques qui peuvent en découler. Ils précisent que la société a eu plusieurs jours pour leur répondre et/ou boucher la brèche.

46 commentaires
Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 15/03/19 à 09:41:46

C'est bien beau d'envoyer des cadeaux pour corrompre les vidéastes, et de ne même pas pouvoir sécuriser ses serveurs.

Avatar de Bill2 INpactien
Avatar de Bill2Bill2- 15/03/19 à 09:46:22

Euh, y'a moyen de vérifier si nos données sont accessibles ?
(Vu que j'ai commandé une fois chez eux en Juillet 2018 ...)

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 15/03/19 à 09:55:09

Noam Rotem et l'équipe de VPNMentor expliquent avoir décidé de publier
leur article malgré le fait que le serveur ne soit toujours pas sécurisé
pour informer les clients que leurs commandes peuvent être dévoilées
sur Internet, avec les risques qui peuvent en découler. Ils précisent
que la société a eu plusieurs jours pour leur répondre et/ou boucher la
brèche.

Ah oui génial. Et ils pensent que les clients concernés font corriger la faille peut-être ?

A part envoyer un e-mail ou un tweet, un client n'a pas grand-chose à faire. En attendant, grâce à cette communication, tout le monde est au courant de la faille, et au courant qu'elle est toujours visible.

Si certains attendent 90 jours pour publier la faille, c'est pas pour rien ! Ca veut dire quoi "la société a eu plusieurs jours pour leur répondre et/ou boucher la brèche", ils ont envoyé l'info vendredi midi, et l'ont publié lundi soir ? :reflechis:

Avatar de thinkerone Abonné
Avatar de thinkeronethinkerone- 15/03/19 à 09:55:44

je me suis promis de ne plus jamais commander chez eux depuis 2016,  ou les délais de livraisons étaient complètement fantasques et a chaque fois politique de l'autruche (yi 4k, arrivée in extremis  juste avant 6 mois de voyage,des accessoires livrés avec 2 semaines de retards, du matos livré sous 5j chez un contact point de chute en australie durant mon voyage toujours pas la quand j'ai débarqué a melbourne 1 mois apres et bien sur jamais remboursé malgré le refus et retour colis)

donc l'absence totale de réaction ne me surprend pas le moins du monde...

maintenant une petite saisie CNIL/GDPR pourrait etre interessante, je suppose qu'ils les ont duement notifié dès qu'ils ont eu vent du soucis.

Édité par thinkerone le 15/03/2019 à 09:56
Avatar de cyril8 INpactien
Avatar de cyril8cyril8- 15/03/19 à 09:57:17

Idem fin 2017. Bon j'ai plus jamais commandé chez eux, mais ça fait ch***

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 15/03/19 à 10:00:17

Jarodd a écrit :

Ah oui génial. Et ils pensent que les clients concernés font corriger la faille peut-être ?

A part envoyer un e-mail ou un tweet, un client n'a pas grand-chose à faire. En attendant, grâce à cette communication, tout le monde est au courant de la faille, et au courant qu'elle est toujours visible.

accessoirement, ça pourrait titiller les différentes CNIL et devenir rigolo pour Gearbest

Avatar de m1k4 Abonné
Avatar de m1k4m1k4- 15/03/19 à 10:02:22

dylem29 a écrit :

C'est bien beau d'envoyer des cadeaux pour corrompre les vidéastes, et de ne même pas pouvoir sécuriser ses serveurs.

C'est, euh, c'est quoi le rapport ??? :mdr2:

Mais sinon ca craint... Autant les intrusions je peux comprendre que ca arrive, autant laisser des serveurs exposés à l'extérieur en libre accès c'est chaud quoi.
Comme c'est dit dans l'article de TechCrunch, je sais pas ce qu'il est de la protection des données en Chine mais vu qu'ils ont des activités et des dépôts en Europe, j'espère qu'ils vont bien se faire taper dessus pour ca.

Avatar de Kevsler INpactien
Avatar de KevslerKevsler- 15/03/19 à 10:02:25

+1 ... La publication augmente la dangerosité de la brèche Oo

Avatar de Gersho INpactien
Avatar de GershoGersho- 15/03/19 à 10:04:06

Jarodd a écrit :

Ah oui génial. Et ils pensent que les clients concernés font corriger la faille peut-être ?

A part envoyer un e-mail ou un tweet, un client n'a pas grand-chose à faire. En attendant, grâce à cette communication, tout le monde est au courant de la faille, et au courant qu'elle est toujours visible.

Si certains attendent 90 jours pour publier la faille, c'est pas pour rien ! Ca veut dire quoi "la société a eu plusieurs jours pour leur répondre et/ou boucher la brèche", ils ont envoyé l'info vendredi midi, et l'ont publié lundi soir ? :reflechis:

en même temps c'est un probleme qui devrait être reglé en 2 mins, c'est pas un probleme qui necessite d'analyser la faille et créer un correctif.

le fait de pas répondre n'aide pas non plus.

Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 15/03/19 à 10:04:58

Avant de se faire de la pub en envoyant des cadeaux aux vidéastes, ils feraient mieux de sécuriser leurs serveurs et de répondre  aux chercheurs  quand ils découvrent des failles.

Voilà le rapport et c'est le minimum.

Il n'est plus possible de commenter cette actualité.
Page 1 / 5