Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Gearbest : très importante fuite de données, la société fait l’autruche

Gearbest : très importante fuite de données, la société fait l'autruche

Le 15 mars 2019 à 09h39

Le chercheur en sécurité Naom Rotem a trouvé un serveur Elasticsearch « laissant fuiter des millions d’enregistrements chaque semaine, y compris des données, commandes et dossiers de paiements de ses clients », comme le rapporte TechCrunch. Certaines informations semblent chiffrées (ou corrompues), mais c'est loin d'être le cas général.

Nos confrères ont examiné une partie de la base de données et ont constaté qu'elle contenait « exactement ce que les clients avaient acheté, quand et aussi où les articles avaient été livrés ». Adresses IP et postale, email, nom, date de naissance, numéro de carte d'identité, etc. sont autant d'éléments présents.

Il suffit de connaître l'URL puisque l'accès au serveur n'est pas protégé par le moindre mot de passe. Bien évidemment, le chercheur et nos confrères ont essayé de contacter la société, sans aucune réponse pour le moment. Pire, le serveur est toujours accessible.

Noam Rotem et l'équipe de VPNMentor expliquent avoir décidé de publier leur article malgré le fait que le serveur ne soit toujours pas sécurisé pour informer les clients que leurs commandes peuvent être dévoilées sur Internet, avec les risques qui peuvent en découler. Ils précisent que la société a eu plusieurs jours pour leur répondre et/ou boucher la brèche.

Le 15 mars 2019 à 09h39

Commentaires (46)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

+1 … La publication augmente la dangerosité de la brèche Oo

votre avatar







Jarodd a écrit :



Ah oui génial. Et ils pensent que les clients concernés font corriger la faille peut-être ?



A part envoyer un e-mail ou un tweet, un client n’a pas grand-chose à faire. En attendant, grâce à cette communication, tout le monde est au courant de la faille, et au courant qu’elle est toujours visible.



Si certains attendent 90 jours pour publier la faille, c’est pas pour rien ! Ca veut dire quoi “la société a eu plusieurs jours pour leur répondre et/ou boucher la brèche”, ils ont envoyé l’info vendredi midi, et l’ont publié lundi soir ? <img data-src=" />





en même temps c’est un probleme qui devrait être reglé en 2 mins, c’est pas un probleme qui necessite d’analyser la faille et créer un correctif.



le fait de pas répondre n’aide pas non plus.


votre avatar

Avant de se faire de la pub en envoyant des cadeaux aux vidéastes, ils feraient mieux de sécuriser leurs serveurs et de répondre&nbsp; aux chercheurs&nbsp; quand ils découvrent des failles.



Voilà le rapport et c’est le minimum.

votre avatar

GB est un site chinois, non? tu crois qu’ils en ont quelque chose à f… de la CNIL?

votre avatar

Je suis comme m1k4, je ne comprends pas;&nbsp;&nbsp;c’est quoi cette histoire de “cadeaux aux vidéastes” ??

votre avatar







Jarodd a écrit :



Ah oui génial. Et ils pensent que les clients concernés font corriger la faille peut-être ?



A part envoyer un e-mail ou un tweet, un client n’a pas grand-chose à faire. En attendant, grâce à cette communication, tout le monde est au courant de la faille, et au courant qu’elle est toujours visible.





https://fr.gearbest.com/about/privacy-policy.html

“Base légale pour le traitement des informations personnellesSi vous êtes situé dans l’Espace Economique Européen (EEE), notre traitement de vos informations personnelles sera basé sur ce qui suit: Dans la mesure où nous obtenons votre consentement pour le traitement de vos informations personnelles, un tel traitement sera justifié conformément à l’Article 6, du paragraphe 1, alinéa a) du règlement général sur la protection des données (UE) 2016679 (“GDPR”). Si le traitement de vos informations personnelles est nécessaire pour l’exécution d’un contrat entre vous et nous ou pour prendre des mesures précontractuelles sur votre demande, un tel traitement sera basé sur l’article 6 (1) GDPR alinéa (b). Lorsque le traitement est nécessaire pour que nous nous conformions à une obligation légale, nous traiterons vos informations personnelles sur la base de l’article 6 (1) du GDPR alinéa ©, et lorsque le traitement est nécessaire aux fins de nos intérêts légitimes, ce traitement sera effectué conformément à l’article 6 (1) du RGPD alinéa (F).Veuillez noter que lorsque vous avez donné votre consentement au traitement de vos informations personnelles, vous pouvez retirer votre consentement, par exemple en envoyant à tout moment un e-mail à [email protected], ce retrait n’affectera pas la légalité de tout traitement précédemment effectué sur la base de votre consentement.”


votre avatar

Lol, on trouve aussi:

“Comment protégeons-nous vos informations?Vous êtes responsable de la sécurité et de la protection de votre nom d’utilisateur et de votre mot de passe sur Gearbest. Nous vous recommandons de choisir un mot de passe fort et de le changer fréquemment. Merci de ne pas utiliser les mêmes informations de connexion (e-mail et mot de passe) sur plusieurs sites Web.Cela dit, nous mettons en œuvre diverses mesures de sécurité, y compris l’utilisation d’un serveur sécurisé. Toutes les informations sensibles / de crédit fournies sont transmises via la technologie SSL (Secure Socket Layer), puis cryptées dans notre base de données des fournisseurs de passerelle de paiement accessible avec des droits d’accès spéciaux tels que les systèmes, et ils sont tenus de garder l’information confidentielle. Après une transaction, vos informations privées (cartes de crédit, numéro de sécurité sociale, données financières, etc.) ne seront pas stockées sur nos serveurs.Nos serveurs et notre site Web sont analysés tous les jours de manière sécurisée et entièrement vérifiés externement par McAfee Secure provenant de Symantec pour vous protéger en ligne.“A priori c’est loupé :p

votre avatar

Gearbest c’est le site qui envoie des produits aux youtuber pour qu’ils testent les produits, j’appelle ça des cadeaux.

votre avatar

Oui et ?

Ca c’est relatif au consentement requis par le RGPD pour le traitement des données personnelles. Ca ne parle pas de la publication des failles, ni de l’information faite aux utilisateurs touchés, ou encore à la politique du site concernant les alertes sur ces failles.

votre avatar

Personnellement, je n’ai pas trouvé de lien ou de méthodologie pour exploiter la faille, donc même si des hackers vont se presser de chercher la porte ouverte, elle ne semble pas non plus être très visible.

votre avatar

Le RGPD impose des choses en cas de failles de sécurité. Ils doivent donc s’y plier.

votre avatar

Je n’ai pas dit le contraire. Juste que mon message cité parle du fait de parler publiquement de la faille. La CNIL (et les autres autorités identiques) peuvent bien être notifiées, que cela n’enlève rien au fait de dévoiler la faille “quelques jours” après en avoir informé l’entreprise en question.



Et puis ce n’est pas parce que GB ne répond pas au chercheur qu’ils n’ont pas fait une déclaration aux autorités concernées. On n’en sait strictement rien. Les utilisateurs doivent être notifiés en cas de risque grave, et par la société elle-même, pas par le gars qui découvre la faille. Et je préfèrerais que cela se fasse dans le feutré avec la CNIL, quitte à communiquer quand c’est résolu (ce qui n’empêche pas le traitement des autorités), plutôt que comme ici “hého les gens, vos données sont probablement dans la nature, et en plus la faille n’est pas corrigée, lol”, ça fait une belle jambes aux utilisateurs. A part faire paniquer, ça n’apporte pas grand-chose.

&nbsp;

Donc me répondre “RGPD”, c’est très bien, mais c’est juste hors sujet comme réponse à mon message.

votre avatar







Jarodd a écrit :



A part faire paniquer, ça n’apporte pas grand-chose.



Ca devrait forcer gearbest à agir.

A moins que tu ne trouves ultra-compliqué de mettre un mot de passe pour accéder à un serveur…


votre avatar

Oui, mais je ne suis pas sysadmin <img data-src=" />

votre avatar

C’est bien ce que j’avais compris, et ma foi ca n’a aucun rapport.

Ceux qui envoient les cadeaux sont un service marketing qui fait de la pub (et ma foi ca pourquoi ils s’en passeraient vu comme certains youtubeurs mangent à tous les râteliers).



Sécuriser ses serveurs dépend d’un autre service, avec d’autres personnes pas très compétentes à priori, et qui ne font pas bcp de veille visiblement.



jpeux comprendre ce qui te pousse à faire le rapprochement, mais malheureusement ca n’a pas de rapport ^^

votre avatar







Jarodd a écrit :



Oui, mais je ne suis pas sysadmin <img data-src=" />



Moi non plus.

Par contre je sais comment rechercher une info sur un moteur de recherche quand je ne la connais pas…


votre avatar

Bah justement le rapport est, mettre moins de fric dans le marketing et la corruption, mettre plus de fric dans la sécurité. <img data-src=" />

votre avatar

Une fois le mot de passe choisi, faut quand même aller au carouf’ pour acheter des post-its.



Ensuite recopier le mot de passe sur chacun des post-its.



Et après coller les susdits post-its sur chacun des ordinateurs des devs susceptibles de se connecter à la base de données.



Comme en ce moment le responsable des achats n’est pas là, les post-its ne peuvent pas être achetés, le mot de passe ne peut pas être changé…va donc falloir attendre le retour de Martine (à priori le jeudi 21 si tout va bien).

votre avatar

Effectivement j’ai trouvé, c’était plus facile <img data-src=" />



J’essaye de joindre un responsable chez GB mais ça sonne occupé, je ne sais pas pourquoi. Ils sont sûrement déjà partis en week-end. Je retente lundi <img data-src=" />

votre avatar

Ca peut faire rire mais un mot de passe fort sur un post-it qui va rester dans un batiment sécurisé est souvent ce qu’il y a de plus efficace (1).

Un mot de passe trop compliqué va être de toute façon recopier…probablement sur un support informatique connecté au réseau.

Un mot de passe trop simple pourra être attaqué en brute force.





(1) Faut Juste éviter de le montrer à la caméra lors d’une émission dans les locaux <img data-src=" />

votre avatar

Il y a un site qui permet de savoir si on a été pris:&nbsp;https://haveibeenpwned.com

Pour l’instant la faille gearbest n’y est pas, mais d’ici quelques semaines il faudra revérifier. En attendant, ça ne fait pas de mal de voir si on a été pris ailleurs. Attendez-vous à des surprises !

votre avatar

@Next Inpact

En matière d’autruche : où en est-on sur le projet “magazine des 15 ans” qui ressemble en tout point à une arnaque ?

Vous pensez communiquer dessus (pas de news depuis novembre), ou juste continuer à vous foutre de la gueule du monde ?

votre avatar







kwak-kwak a écrit :



@Next Inpact

En matière d’autruche : où en est-on sur le projet “magazine des 15 ans” qui ressemble en tout point à une arnaque ?

Vous pensez communiquer dessus (pas de news depuis novembre), ou juste continuer à vous foutre de la gueule du monde ?





Quasi sûr qu’ils en ont parlé il y a moins d’un mois


votre avatar

Point d’arnaque, même si, oui, on est en retard (et on s’en excuse). On en reparle bientôt avec plus de détails <img data-src=" />

votre avatar







David_L a écrit :



Point d’arnaque, même si, oui, on est en retard (et on s’en excuse). On en reparle bientôt avec plus de détails <img data-src=" />



Quitte a être malpoli, je vous suggère très fortement de faire un point régulier (genre tous les 15 jours) sur l’avancement du projet. Même si le projet n’avance pas, ce serait le minimum syndical. <img data-src=" />



Merci quand même pour le retour.


votre avatar







jackjack2 a écrit :



Quasi sûr qu’ils en ont parlé il y a moins d’un mois





Non, il n’y a rien sur la page d’information dédiée au projet : https://fr.ulule.com/next-inpact/news/


votre avatar

C’est quelque chose qui va être mis en place, on en reparle en début de semaine (on a validé ça ces derniers jours mais j’étais en déplacement donc ça n’a pas encore été publié <img data-src=" />)

votre avatar







David_L a écrit :



C’est quelque chose qui va être mis en place, on en reparle en début de semaine (on a validé ça ces derniers jours mais j’étais en déplacement donc ça n’a pas encore été publié <img data-src=" />)



cool merci <img data-src=" />


votre avatar







dylem29 a écrit :



Bah justement le rapport est, mettre moins de fric dans le marketing et la corruption, mettre plus de fric dans la sécurité. <img data-src=" />





Maintenant il ne reste plus qu’a observer les chaines qui reçoivent des cadeaux avec lien affiliés et qui ne feront pas de vidéo à propos du hack histoire de continuer à toucher de l’argent. C’est ni plus ni moins un système de corruption “indirect” en utilisant la morale, le bâton et la carotte.



Ça me fait beaucoup penser au bitcoin ( et nxi qui supprime ce moyen de paiement discrétos ), et aussi à l’argent de la pub en générale et des bloqueurs.


votre avatar







dylem29 a écrit :



Bah justement le rapport est, mettre moins de fric dans le marketing et la corruption, mettre plus de fric dans la sécurité. <img data-src=" />





<img data-src=" /> Surtout que mettre un mot de passe sur un serveur ne doit pas représenter une somme colossale. <img data-src=" />


votre avatar

Je les ai contacté pour leur demander de supprimer l’integralité de mes données suite à cette fuite. Ils me répondent :

“Veuillez noter que Gearbest ne vend aucune information client à des tiers”

ouf ça me rassure …

votre avatar







DjeFr a écrit :



Je les ai contacté pour leur demander de supprimer l’integralité de mes données suite à cette fuite. Ils me répondent :

“Veuillez noter que Gearbest ne vend aucune information client à des tiers”

ouf ça me rassure …





Avoir accès au serveur permettra en tout cas de s’assurer qu’ils ont bien supprimé tes infos 😁


votre avatar







skankhunt42 a écrit :



Maintenant il ne reste plus qu’a observer les chaines qui reçoivent des cadeaux avec lien affiliés et qui ne feront pas de vidéo à propos du hack histoire de continuer à toucher de l’argent. C’est ni plus ni moins un système de corruption “indirect” en utilisant la morale, le bâton et la carotte.



Ça me fait beaucoup penser au bitcoin ( et nxi qui supprime ce moyen de paiement discrétos ), et aussi à l’argent de la pub en générale et des bloqueurs.









choukky a écrit :



<img data-src=" /> Surtout que mettre un mot de passe sur un serveur ne doit pas représenter une somme colossale. <img data-src=" />





Attends, c’est sécurisé, Elasticsearch fonctionne sous Docker. <img data-src=" />



Je ne pense pas que les&nbsp; chaînes&nbsp; parleront de ça, c’est surtout des tests d’objets&nbsp; inutiles, pas de tech à proprement parler


votre avatar

Suffit pas de mettre un mot de passe sur le serveur, y a tout l’environnement qui tappe dessus (site web, api, application mobile etc…) qui faut mettre à jour.

votre avatar

A savoir qu’il y aurait eu réponse de gearbest: twitter.com Twitter

votre avatar

&nbsp;[EDIT] Double post, pas fait exprès. merci de modérer :)

votre avatar







dylem29 a écrit :



Je ne pense pas que les&nbsp; chaînes&nbsp; parleront de ça, c’est surtout des tests d’objets&nbsp; inutiles, pas de tech à proprement parler





Dans le domaine d’impression 3d toute les chaines ayant plus de 50.000 abonnés ont été littéralement arrosés de matos, via pas mal de constructeur chinois.


votre avatar

Il ne les vendent pas, elle sont en libre service <img data-src=" />

votre avatar

Ce qui me casse les pieds c’est que mon adresse ‘Vraiment” perso (donc normalement pas sur ce genre de sites) est stockée pour une commande (merci paypal de fuiter ces infos!!!)…

j’espère ne pas me taper des spams sur cette BaL non remplaçable…

votre avatar

C’est bien beau d’envoyer des cadeaux pour corrompre les vidéastes, et de ne même pas pouvoir sécuriser ses serveurs.

votre avatar

Euh, y’a moyen de vérifier si nos données sont accessibles ?

(Vu que j’ai commandé une fois chez eux en Juillet 2018 …)

votre avatar



Noam Rotem et l’équipe de VPNMentor expliquent avoir décidé de publier

leur article malgré le fait que le serveur ne soit toujours pas sécurisé

pour informer les clients que leurs commandes peuvent être dévoilées

sur Internet, avec les risques qui peuvent en découler. Ils précisent

que la société a eu plusieurs jours pour leur répondre et/ou boucher la

brèche.





Ah oui génial. Et ils pensent que les clients concernés font corriger la faille peut-être ?



A part envoyer un e-mail ou un tweet, un client n’a pas grand-chose à faire. En attendant, grâce à cette communication, tout le monde est au courant de la faille, et au courant qu’elle est toujours visible.



Si certains attendent 90 jours pour publier la faille, c’est pas pour rien ! Ca veut dire quoi “la société a eu plusieurs jours pour leur répondre et/ou boucher la brèche”, ils ont envoyé l’info vendredi midi, et l’ont publié lundi soir ? <img data-src=" />

votre avatar

je me suis promis de ne plus jamais commander chez eux depuis 2016,&nbsp; ou les délais de livraisons étaient complètement fantasques et a chaque fois politique de l’autruche (yi 4k, arrivée in extremis&nbsp; juste avant 6 mois de voyage,des accessoires livrés avec 2 semaines de retards, du matos livré sous 5j chez un contact point de chute en australie durant mon voyage toujours pas la quand j’ai débarqué a melbourne 1 mois apres et bien sur jamais remboursé malgré le refus et retour colis)



donc l’absence totale de réaction ne me surprend pas le moins du monde…



maintenant une petite saisie CNIL/GDPR pourrait etre interessante, je suppose qu’ils les ont duement notifié dès qu’ils ont eu vent du soucis.

votre avatar

Idem fin 2017. Bon j’ai plus jamais commandé chez eux, mais ça fait ch*

votre avatar







Jarodd a écrit :



Ah oui génial. Et ils pensent que les clients concernés font corriger la faille peut-être ?



A part envoyer un e-mail ou un tweet, un client n’a pas grand-chose à faire. En attendant, grâce à cette communication, tout le monde est au courant de la faille, et au courant qu’elle est toujours visible.





accessoirement, ça pourrait titiller les différentes CNIL et devenir rigolo pour Gearbest


votre avatar







dylem29 a écrit :



C’est bien beau d’envoyer des cadeaux pour corrompre les vidéastes, et de ne même pas pouvoir sécuriser ses serveurs.





C’est, euh, c’est quoi le rapport ??? <img data-src=" />



Mais sinon ca craint… Autant les intrusions je peux comprendre que ca arrive, autant laisser des serveurs exposés à l’extérieur en libre accès c’est chaud quoi.

Comme c’est dit dans l’article de TechCrunch, je sais pas ce qu’il est de la protection des données en Chine mais vu qu’ils ont des activités et des dépôts en Europe, j’espère qu’ils vont bien se faire taper dessus pour ca.


Gearbest : très importante fuite de données, la société fait l’autruche

Fermer