免費參與·100+跨境活動 
免費下載·4000+跨境資料 
免費學習·2000+直播課程 
免費加入·15萬+賣家交流群 
2019-03-15 13:19
據外媒報道,安全研究人員發現,中國跨境大賣旗下自營網站Gearbest泄露了數百萬用戶的檔案和購物訂單。
安全研究員Noam Rotem發現一個名為Elasticsearch的服務器每周泄露了數百萬條記錄,包括客戶數據、訂單和付款記錄。該服務器未受密碼保護,允許任何人搜索數據。
Gearbest是全球250強網站之一,服務于華碩、華為、英特爾和聯想等頂級品牌。
TechCrunch通過其專用安全頁面(用來保護數據庫)聯系了Gearbest ,發現該公司既沒有保護數據也沒有回復他們的評論請求。
Rotem與TechCrunch分享了他的調查結果,并在VPNMentor上發布了他的報告。他說,所泄露的數據包括名稱、地址、電話號碼、電子郵件地址、客戶訂單和購買的產品。該數據庫還有付款和發票信息,包括支出金額和半屏蔽姓名以及電子郵件地址。
在查看了部分數據后,TechCrunch發現數據庫確切地顯示了客戶購買的內容,物品發貨的時間和地點。
一些會員專用記錄還包括護照號碼和其他國家身份證號碼。Rotem表示,該網站幾乎沒有加密證據,在某些情況下根本沒有。
“一些遭泄露的訂單內容非常‘辣眼’,”羅特姆說。暴露的訂單不僅違反了客戶隱私,暴露的數據還可能危及世界上言論和表達自由受限地區的客戶。例如,一些性玩具和其他私密購買的產品,可能會在那些禁止LGBTQ +關系或婚前性行為的國家里引起法律問題。
像在阿拉伯聯合酋長國和巴基斯坦這樣出臺了相關嚴格法律的國家中,甚至可能會被判死刑。
Rotem還在同一IP地址上發現了一個單獨的基于Web的數據庫管理系統,允許任何人操縱或破壞Gearbest母公司Globalegrow運行的數據庫。
目前尚不清楚服務器的曝光時間。來自互聯網掃描站點Binary Edge的數據顯示,該數據庫于3月7日首次被檢測到。
總部位于深圳的Gearbest在歐洲擁有大量業務,在西班牙、波蘭、捷克共和國和英國設有倉庫,這些國家都適用歐盟數據保護和隱私法。任何違反通用數據保護法規(GDPR)的公司都可能被罰款高達其全球收入的4%。
這是Gearbest多年來發生的第二個安全問題。2017年12月,該公司證實,在所謂的“憑證填充物攻擊”之后,該公司的賬戶被攻破。
針對此事,雨果網也與Gearbest網站相關負責人進行確認,對方表示并未造成泄露。
