Gearbest ferait face à une fuite de donnée massive, mais ne semble pas s’en inquiéter plus que ça


Amazon a beau dominer le monde du e-commerce chez nous, il fait face à de nombreux concurrents en Asie. Gearbest fait partie de l’un d’eux et est devenu en quelques années une gigantesque plateforme de commande. Son catalogue s’est d’ailleurs largement diversifié, et le site ne se cantonne pas aux smartphones et à l’électronique.

Mais les informations de ses nombreux clients n’ont pas l’air assez bien protégées. C’est en tout cas ce qu’explique Naom Rotem (via VPNMentor) qui s’est particulièrement intéressé à un serveur Elasticsearch détenu par la société. Une faille dans ce dernier laisserait en effet fuiter des millions de données chaque semaine. Parmi elles, on trouve des numéros de commandes, nom, adresse, email, date de naissance ou encore les dossiers de paiement des utilisateurs. Une partie est tout de même chiffrée, mais ce n’est pas le cas du « paquet » global.

Étant donné que l’accès au serveur en question n’est pas protégé par un mot de passe, il suffit de connaitre la bonne URL pour y accéder. On peut ensuite très facilement prendre connaissance de ce que les gens ont acheté et de leur localisation grâce à l’adresse IP ou postale. Ce matin encore, la firme n’avait toujours pas pris de mesures pour arranger cela.

On peut se demander pourquoi Rotem évoque publiquement cette faille, ce qui peut permettre à certaines personnes mal intentionnées de s’en servir. Mais il se dédouane en précisant qu’il a contacté la plateforme a plusieurs reprises, et que cette dernière a eu plusieurs jours pour réagir. Une attitude plutôt désinvolte pour un tel commerçant, même si on espère que la plateforme va désormais agir pour réparer cela.



Source link

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.