Gearbest è stato hackerato: attenzione ai dati di login!

Di
Michele
-

Sul web è disponibile un pastebin (una sorta di copia-incolla pubblico) con più di 1000+ email e password di utenti GearBest. Per non aumentare il disagio, evitiamo il link a questo file. Notiamo purtroppo molte email terminanti con .it

Da quanto abbiamo capito, degli hacker hanno sfruttato una vulnerabilità della app mobile di GearBest per ottenere email e password di molti account GearBest

Nonostante le dinamiche non siano molto chiare, alcuni clienti hanno avuto purtroppo dei disagi

Ordini piazzati e spediti in altri paesi

Lamentele da parte di clienti che scoprono di aver regalato XiaoMi Miband a persone in altre parti del mondo

Fonte: reddit

Increduli, abbiamo avuto conferma da persone nella struttura GearBest

Password salvate senza crittografia

Una mancanza gravissima. Le password degli utenti GearBest sono salvate sul database dalla società cinese senza essere crittografate

E’ una best practice a livello informatico quella di salvare le password crittografate. Neanche il sistema dello shop dovrebbe avere le password in chiaro.
Nell’industria informatica, le password vengono cifrate e non deve MAI essere  possibile risalire alla password in chiaro. Il sistema confronta la password crittografata salvata in archivio con quella inviata dall’utente in fase di login, ignaro della password reale

Come verificare se il tuo account è stato hackerato

Inserendo la tua email su questo sito potrai verificare se fai parte del leak

Il sito chiede solamente la tua email per confrontarla con il database interno. Noi consideriamo questa fonte affidabile essendo gestita da un ex sviluppatore microsoft, Troy Hunt

Attenzione alle password transazionali

Il problema principale non è l’account GearBest compromesso. Se email + password sono utilizzate su altri siti, l’accesso potrebbe essere compromesso. Molte persone, infatti, utilizzano la stessa combinazione di email e password per molti siti diversi!

Consigli

  • Attivare 2FA su servizi come PayPal (un codice inviato tramite SMS da riportare sul sito per autorizzare le transazioni)
  • Usare password casuali per diversi siti: es. 1Password. Se utilizziamo una password diversa per ogni sito sul quale ci registriamo, azzeriamo la possibilità che una password possa compromettere altri servizi ai quali siamo registrati

 

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui