Um pesquisador de segurança descobriu milhões de números de identidade de cidadãos chineses expostos online depois que uma loja de comércio eletrônico deixou seu banco de dados acessível na internet.
O pesquisador de segurança Viktor Markopoulos, que trabalha para a CloudDefense.ai, encontrou o banco de dados pertencente à Zhefengle, uma loja chinesa de importação de produtos do exterior.
O banco de dados continha mais de 3,3 milhões de pedidos feitos entre 2015 e 2020, e não estava protegido por senha.
Nele, estavam os endereços de entrega, números de telefone e os números de cartão de identidade emitidos pelo governo dos clientes. Muitos pedidos também incluíam cópias carregadas da carteira de identidade do cliente, conforme relatado pelo TechCrunch.
Clientes que importam mercadorias para a China devem ter sua identidade verificada e é comum que as lojas solicitem cópias de seu bilhete de identidade.
Não se sabe por quanto tempo o banco de dados ficou exposto. Qualquer pessoa que conhecesse o endereço IP do banco de dados poderia acessar os dados através de um navegador web.
O TechCrunch entrou em contato com os proprietários da loja online informando sobre a exposição dos dados. Logo em seguida, o banco de dados ficou inacessível. Em resposta, os lojistas afirmaram: “A vulnerabilidade foi prontamente resolvida. No momento, estamos investigando a causa internamente.”
Rita Liao, do TechCrunch, contribuiu com relatórios.