环球易购,外媒:中国跨境大卖旗下自营网站Gearbest泄露数百万用户档案和订单!
全球易购,外媒:中国跨境大卖旗下自营网站Gearbest泄露数百万用户档案和订单!核心内容
全球易购,外媒:中国跨境大卖旗下自营网站Gearbest泄露数百万用户档案和订单!正文
据外媒报道,安全研究人员发现,中国跨境大卖的自营网站Gearbest数百万用户的档案和购物订单被泄露。
安全研究员Noam Rotem发现一个名字Elasticsearch该服务器每周泄露数百万条记录,包括客户数据、订单和付款记录。该服务器不受密码保护,允许任何人搜索数据。
Gearbest服务于华硕、华为、英特尔、联想等顶级品牌的全球250强网站之一。
TechCrunch联系其专用安全页面(用于保护数据库)Gearbest,发现公司既没有保护数据,也没有回复他们的评论请求。
Rotem与TechCrunch分享他的调查结果VPNMentor他的报告发布在上面。他说,泄露的数据包括名称、地址、电话号码、电子邮件地址、客户订单和购买的产品。数据库还有支付和发票信息,包括支出金额、半屏蔽名称和电子邮件地址。
查看部分数据后,TechCrunch发现数据库准确地显示了客户购买的内容、货物交付的时间和地点。
部分会员专用记录还包括护照号码和其他国家份证号。Rotem在某些情况下,该网站几乎没有加密证据。
有些被泄露的订单内容很好‘辣眼’,罗特姆说。暴露的订单不仅违反了客户隐私,而且可能危及世界上言论和表达自由有限地区的客户。例如,一些私人玩具和其他产品可能被禁止LGBTQ 关系或婚前性行为的国家造成法律问题。
像在阿拉伯联合酋长国和巴基斯坦这样出台了相关严格法律的国家中,甚至可能会被判死刑。
Rotem还在同一IP在地址上发现了一个单独的基础Web允许任何人操作或破坏的数据库管理系统Gearbest母公司Globalegrow运行数据库。
服务器曝光时间尚不清楚。来自互联网扫描网站Binary Edge数据显示,该数据库于3月7日首次被检测到。
总部位于深圳Gearbest欧盟数据保护和隐私法适用于西班牙、波兰、捷克共和国和英国的大量业务。任何违反一般数据保护法规的行为(GDPR)所有公司都可能被罚款高达其全球收入4%。
这是Gearbest多年来发生的第二个安全问题。2017年12月,该公司证实,该公司的账户在所谓的凭证填充物攻击后被打破。
跨境网也与此事有关Gearbest网站相关负责人确认,对方表示没有泄露。