Gearbest ferait face à une fuite de donnée massive, mais ne semble pas s’en inquiéter plus que ça

Sécurité

Par Henri le

Le site du géant de la vente en ligne chinoise ferait face à une importante faille de sécurité. Mais la firme met du temps à réagir.

Amazon a beau dominer le monde du e-commerce chez nous, il fait face à de nombreux concurrents en Asie. Gearbest fait partie de l’un d’eux et est devenu en quelques années une gigantesque plateforme de commande. Son catalogue s’est d’ailleurs largement diversifié, et le site ne se cantonne pas aux smartphones et à l’électronique.

Mais les informations de ses nombreux clients n’ont pas l’air assez bien protégées. C’est en tout cas ce qu’explique Naom Rotem (via VPNMentor) qui s’est particulièrement intéressé à un serveur Elasticsearch détenu par la société. Une faille dans ce dernier laisserait en effet fuiter des millions de données chaque semaine. Parmi elles, on trouve des numéros de commandes, nom, adresse, email, date de naissance ou encore les dossiers de paiement des utilisateurs. Une partie est tout de même chiffrée, mais ce n’est pas le cas du « paquet » global.

Étant donné que l’accès au serveur en question n’est pas protégé par un mot de passe, il suffit de connaitre la bonne URL pour y accéder. On peut ensuite très facilement prendre connaissance de ce que les gens ont acheté et de leur localisation grâce à l’adresse IP ou postale. Ce matin encore, la firme n’avait toujours pas pris de mesures pour arranger cela.

On peut se demander pourquoi Rotem évoque publiquement cette faille, ce qui peut permettre à certaines personnes mal intentionnées de s’en servir. Mais il se dédouane en précisant qu’il a contacté la plateforme a plusieurs reprises, et que cette dernière a eu plusieurs jours pour réagir. Une attitude plutôt désinvolte pour un tel commerçant, même si on espère que la plateforme va désormais agir pour réparer cela.