"Nous nous excusons sincèrement pour ce qui est arrivé" : le mea culpa de Gearbest sur la fuite de quelques 1, 5 millions de données !

Le Web-marchand Chinois Gearbest s'est exprimé à la suite des découvertes sécuritaires de Noam Rotem relayées sur VPNMentor.com le 14 Mars dernier et qui concernait pas moins de 1,5 millions d'enregistrements au sein d'une "base de données complètement non-sécurisée".

 

 

Selon le communiqué officiel de Gearbest sur son compte Facebook, au 15 Mars dernier, officiellement, la fuite aurait eu lieu le 1er Mars 2019, alors que certains firewalls "puissants", usitées par l'entreprise pour cloisonner des "outils externes" qui préviennent les intrusions-données et leur possible téléchargement, avaient été désactivés par "un des membres" de l'équipe sécuritaire. Toujours selon les propos, du site e-commerce, la brèche aurait été effective jusqu'au 15 Mars dernier  et aurait concerné 280 000 comptes-clients, tout en rassurant sur le fait que les données ne sont conservées que pendant "3 jours calendaires" puis "automatiquement supprimées". Dès la sortie de ce communiqué, la société affirme qu'elle a désactivé les mots de passe pour les nouveaux comptes créées mais également pour les comptes-clients déjà existants qui auraient été impacté par cette faille : dans ce dernier cas, un mail leur a été, normalement, envoyé pour leur signalé la chose et agir en conséquence (nouveau mot de passe et complexifier ce dernier, supposons-le).

 

Dans la réalité et selon les propos de VPNMentor, en fait, il ne s'agit non-pas de 280 000 comptes-clients touchés mais, plutôt, de quelques 1,5 millions de données fuitées : cela concernait les attributs de commandes (produits achetés, livraison, CP, nom-client, e-mail, numéro de téléphone), les informations de paiements et de facturation (numéro-facture, type de paiement, information de paiement, e-mail, adresse IP) et les données-clients (nom, adresse, date de naissance, e-mail, adresse IP, carte identité, passeport, mot de passe). Cerise sur le gâteau : les données de la base n'avaient, pour certaines, aucun traitement d'encryptage particulier et intégraient des données assez avancées sur les clients ce qui pouvait, potentiellement, permettre un chantage malveillant selon le pays d'origine du client et la nature de sa commande, notamment si le pays d'origine interdit l'usage ou la vente de ce produit commandé sur Gearbest...

Globalgrow (groupe qui possède, entre-autres, Gearbest) n'en est, pourtant, pas à son premier coup d'éclat : en 2017, une faille de type credential stuffing (email + mot de passe seulement) avait été découverte via une publication communautaire sur Reddit, avant que Gearbest ne communique dessus en affirmant avoir "gelé" les comptes concernés de cette brèche qui aurait aspiré "un gros volume de données"... A veiller !

 

Source : Blog VPN Mentor - 14 Mars 2019 - Gearbest : fuite de données de 1,5 millions d'enregistrements.