Le chercheur en sécurité Naom Rotem a trouvé un serveur Elasticsearch « laissant fuiter des millions d’enregistrements chaque semaine, y compris des données, commandes et dossiers de paiements de ses clients », comme le rapporte TechCrunch. Certaines informations semblent chiffrées (ou corrompues), mais c'est loin d'être le cas général.
Nos confrères ont examiné une partie de la base de données et ont constaté qu'elle contenait « exactement ce que les clients avaient acheté, quand et aussi où les articles avaient été livrés ». Adresses IP et postale, email, nom, date de naissance, numéro de carte d'identité, etc. sont autant d'éléments présents.
Il suffit de connaître l'URL puisque l'accès au serveur n'est pas protégé par le moindre mot de passe. Bien évidemment, le chercheur et nos confrères ont essayé de contacter la société, sans aucune réponse pour le moment. Pire, le serveur est toujours accessible.
Noam Rotem et l'équipe de VPNMentor expliquent avoir décidé de publier leur article malgré le fait que le serveur ne soit toujours pas sécurisé pour informer les clients que leurs commandes peuvent être dévoilées sur Internet, avec les risques qui peuvent en découler. Ils précisent que la société a eu plusieurs jours pour leur répondre et/ou boucher la brèche.
Commentaires (46)
#1
C’est bien beau d’envoyer des cadeaux pour corrompre les vidéastes, et de ne même pas pouvoir sécuriser ses serveurs.
#2
Euh, y’a moyen de vérifier si nos données sont accessibles ?
(Vu que j’ai commandé une fois chez eux en Juillet 2018 …)
#3
Noam Rotem et l’équipe de VPNMentor expliquent avoir décidé de publier
leur article malgré le fait que le serveur ne soit toujours pas sécurisé
pour informer les clients que leurs commandes peuvent être dévoilées
sur Internet, avec les risques qui peuvent en découler. Ils précisent
que la société a eu plusieurs jours pour leur répondre et/ou boucher la
brèche.
Ah oui génial. Et ils pensent que les clients concernés font corriger la faille peut-être ?
A part envoyer un e-mail ou un tweet, un client n’a pas grand-chose à faire. En attendant, grâce à cette communication, tout le monde est au courant de la faille, et au courant qu’elle est toujours visible.
Si certains attendent 90 jours pour publier la faille, c’est pas pour rien ! Ca veut dire quoi “la société a eu plusieurs jours pour leur répondre et/ou boucher la brèche”, ils ont envoyé l’info vendredi midi, et l’ont publié lundi soir ?
#4
je me suis promis de ne plus jamais commander chez eux depuis 2016, ou les délais de livraisons étaient complètement fantasques et a chaque fois politique de l’autruche (yi 4k, arrivée in extremis juste avant 6 mois de voyage,des accessoires livrés avec 2 semaines de retards, du matos livré sous 5j chez un contact point de chute en australie durant mon voyage toujours pas la quand j’ai débarqué a melbourne 1 mois apres et bien sur jamais remboursé malgré le refus et retour colis)
donc l’absence totale de réaction ne me surprend pas le moins du monde…
maintenant une petite saisie CNIL/GDPR pourrait etre interessante, je suppose qu’ils les ont duement notifié dès qu’ils ont eu vent du soucis.
#5
Idem fin 2017. Bon j’ai plus jamais commandé chez eux, mais ça fait ch*
#6
#7
#8
+1 … La publication augmente la dangerosité de la brèche Oo
#9
#10
Avant de se faire de la pub en envoyant des cadeaux aux vidéastes, ils feraient mieux de sécuriser leurs serveurs et de répondre aux chercheurs quand ils découvrent des failles.
Voilà le rapport et c’est le minimum.
#11
GB est un site chinois, non? tu crois qu’ils en ont quelque chose à f… de la CNIL?
#12
Je suis comme m1k4, je ne comprends pas; c’est quoi cette histoire de “cadeaux aux vidéastes” ??
#13
#14
Lol, on trouve aussi:
“Comment protégeons-nous vos informations?Vous êtes responsable de la sécurité et de la protection de votre nom d’utilisateur et de votre mot de passe sur Gearbest. Nous vous recommandons de choisir un mot de passe fort et de le changer fréquemment. Merci de ne pas utiliser les mêmes informations de connexion (e-mail et mot de passe) sur plusieurs sites Web.Cela dit, nous mettons en œuvre diverses mesures de sécurité, y compris l’utilisation d’un serveur sécurisé. Toutes les informations sensibles / de crédit fournies sont transmises via la technologie SSL (Secure Socket Layer), puis cryptées dans notre base de données des fournisseurs de passerelle de paiement accessible avec des droits d’accès spéciaux tels que les systèmes, et ils sont tenus de garder l’information confidentielle. Après une transaction, vos informations privées (cartes de crédit, numéro de sécurité sociale, données financières, etc.) ne seront pas stockées sur nos serveurs.Nos serveurs et notre site Web sont analysés tous les jours de manière sécurisée et entièrement vérifiés externement par McAfee Secure provenant de Symantec pour vous protéger en ligne.“A priori c’est loupé :p
#15
Gearbest c’est le site qui envoie des produits aux youtuber pour qu’ils testent les produits, j’appelle ça des cadeaux.
#16
Oui et ?
Ca c’est relatif au consentement requis par le RGPD pour le traitement des données personnelles. Ca ne parle pas de la publication des failles, ni de l’information faite aux utilisateurs touchés, ou encore à la politique du site concernant les alertes sur ces failles.
#17
Personnellement, je n’ai pas trouvé de lien ou de méthodologie pour exploiter la faille, donc même si des hackers vont se presser de chercher la porte ouverte, elle ne semble pas non plus être très visible.
#18
Le RGPD impose des choses en cas de failles de sécurité. Ils doivent donc s’y plier.
#19
Je n’ai pas dit le contraire. Juste que mon message cité parle du fait de parler publiquement de la faille. La CNIL (et les autres autorités identiques) peuvent bien être notifiées, que cela n’enlève rien au fait de dévoiler la faille “quelques jours” après en avoir informé l’entreprise en question.
Et puis ce n’est pas parce que GB ne répond pas au chercheur qu’ils n’ont pas fait une déclaration aux autorités concernées. On n’en sait strictement rien. Les utilisateurs doivent être notifiés en cas de risque grave, et par la société elle-même, pas par le gars qui découvre la faille. Et je préfèrerais que cela se fasse dans le feutré avec la CNIL, quitte à communiquer quand c’est résolu (ce qui n’empêche pas le traitement des autorités), plutôt que comme ici “hého les gens, vos données sont probablement dans la nature, et en plus la faille n’est pas corrigée, lol”, ça fait une belle jambes aux utilisateurs. A part faire paniquer, ça n’apporte pas grand-chose.
Donc me répondre “RGPD”, c’est très bien, mais c’est juste hors sujet comme réponse à mon message.
#20
#21
Oui, mais je ne suis pas sysadmin
" />
#22
C’est bien ce que j’avais compris, et ma foi ca n’a aucun rapport.
Ceux qui envoient les cadeaux sont un service marketing qui fait de la pub (et ma foi ca pourquoi ils s’en passeraient vu comme certains youtubeurs mangent à tous les râteliers).
Sécuriser ses serveurs dépend d’un autre service, avec d’autres personnes pas très compétentes à priori, et qui ne font pas bcp de veille visiblement.
jpeux comprendre ce qui te pousse à faire le rapprochement, mais malheureusement ca n’a pas de rapport ^^
#23
#24
Bah justement le rapport est, mettre moins de fric dans le marketing et la corruption, mettre plus de fric dans la sécurité.
" />
#25
Une fois le mot de passe choisi, faut quand même aller au carouf’ pour acheter des post-its.
Ensuite recopier le mot de passe sur chacun des post-its.
Et après coller les susdits post-its sur chacun des ordinateurs des devs susceptibles de se connecter à la base de données.
Comme en ce moment le responsable des achats n’est pas là, les post-its ne peuvent pas être achetés, le mot de passe ne peut pas être changé…va donc falloir attendre le retour de Martine (à priori le jeudi 21 si tout va bien).
#26
Effectivement j’ai trouvé, c’était plus facile
" />
" />
J’essaye de joindre un responsable chez GB mais ça sonne occupé, je ne sais pas pourquoi. Ils sont sûrement déjà partis en week-end. Je retente lundi
#27
Ca peut faire rire mais un mot de passe fort sur un post-it qui va rester dans un batiment sécurisé est souvent ce qu’il y a de plus efficace (1).
" />
Un mot de passe trop compliqué va être de toute façon recopier…probablement sur un support informatique connecté au réseau.
Un mot de passe trop simple pourra être attaqué en brute force.
(1) Faut Juste éviter de le montrer à la caméra lors d’une émission dans les locaux
#28
Il y a un site qui permet de savoir si on a été pris: https://haveibeenpwned.com
Pour l’instant la faille gearbest n’y est pas, mais d’ici quelques semaines il faudra revérifier. En attendant, ça ne fait pas de mal de voir si on a été pris ailleurs. Attendez-vous à des surprises !
#29
@Next Inpact
En matière d’autruche : où en est-on sur le projet “magazine des 15 ans” qui ressemble en tout point à une arnaque ?
Vous pensez communiquer dessus (pas de news depuis novembre), ou juste continuer à vous foutre de la gueule du monde ?
#30
#31
Point d’arnaque, même si, oui, on est en retard (et on s’en excuse). On en reparle bientôt avec plus de détails
" />
#32
#33
#34
C’est quelque chose qui va être mis en place, on en reparle en début de semaine (on a validé ça ces derniers jours mais j’étais en déplacement donc ça n’a pas encore été publié
" />)
#35
#36
#37
#38
Je les ai contacté pour leur demander de supprimer l’integralité de mes données suite à cette fuite. Ils me répondent :
“Veuillez noter que Gearbest ne vend aucune information client à des tiers”
ouf ça me rassure …
#39
#40
#41
Suffit pas de mettre un mot de passe sur le serveur, y a tout l’environnement qui tappe dessus (site web, api, application mobile etc…) qui faut mettre à jour.
#42
A savoir qu’il y aurait eu réponse de gearbest: https://twitter.com/noamr/status/1106537240958775298
#43
[EDIT] Double post, pas fait exprès. merci de modérer :)
#44
#45
Il ne les vendent pas, elle sont en libre service
" />
#46
Ce qui me casse les pieds c’est que mon adresse ‘Vraiment” perso (donc normalement pas sur ce genre de sites) est stockée pour une commande (merci paypal de fuiter ces infos!!!)…
j’espère ne pas me taper des spams sur cette BaL non remplaçable…