De populaire Chinese webwinkel GearBest heeft via een onbeveiligde database de gegevens van een groot aantal klanten gelekt, waaronder adresgegevens, e-mailadres, telefoonnummer, geboortedata, bestelgegevens en zelfs paspoortinformatie.

Dat stelt onderzoeker Noam Rotem die zijn bevindingen via de website van VPNMentor deelde. De gegevens werden in een onbeveiligde Elasticsearch-database gevonden. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie en Elasticsearch-databases kunnen terabytes aan gegevens bevatten. De informatie die de onderzoeker aantrof was voor iedereen zonder wachtwoord toegankelijk.

De database bevatte naast bestel- en factuurgegevens ook informatie van leden, waaronder namen, adresgegevens, geboortedata, telefoonnummer, e-mailadres, ip-adres, nationale identiteitskaart- en paspoortinformatie en accountwachtwoorden, aldus Rotem. In totaal vond de onderzoeker 1,5 miljoen records in de database. Via de gegevens is het mogelijk om op de accounts van GearBest-klanten in te loggen, zo schrijft de onderzoeker.

Rotem waarschuwde GearBest, maar het bedrijf gaf geen reactie en de database is nog steeds niet beveiligd. “Gearbest-klanten moeten de risico’s kennen als ze een website gebruiken die geen moeite doet om zijn klanten te beschermen”, merkt de onderzoeker op.