外媒：中國跨境大賣旗下自營網(wǎng)站Gearbest泄露數(shù)百萬用戶檔案和訂單！

據(jù)外媒報道，安全研究人員發(fā)現(xiàn)，中國跨境大賣旗下自營網(wǎng)站Gearbest泄露了數(shù)百萬用戶的檔案和購物訂單。

安全研究員Noam Rotem發(fā)現(xiàn)一個名為Elasticsearch的服務器每周泄露了數(shù)百萬條記錄，包括客戶數(shù)據(jù)、訂單和付款記錄。該服務器未受密碼保護，允許任何人搜索數(shù)據(jù)。

Gearbest是全球250強網(wǎng)站之一，服務于華碩、華為、英特爾和聯(lián)想等頂級品牌。

TechCrunch通過其專用安全頁面（用來保護數(shù)據(jù)庫）聯(lián)系了Gearbest ，發(fā)現(xiàn)該公司既沒有保護數(shù)據(jù)也沒有回復他們的評論請求。

Rotem與TechCrunch分享了他的調(diào)查結果，并在VPNMentor上發(fā)布了他的報告。他說，所泄露的數(shù)據(jù)包括名稱、地址、電話號碼、電子郵件地址、客戶訂單和購買的產(chǎn)品。該數(shù)據(jù)庫還有付款和發(fā)票信息，包括支出金額和半屏蔽姓名以及電子郵件地址。

在查看了部分數(shù)據(jù)后，TechCrunch發(fā)現(xiàn)數(shù)據(jù)庫確切地顯示了客戶購買的內(nèi)容，物品發(fā)貨的時間和地點。

一些會員專用記錄還包括護照號碼和其他國家身份證號碼。Rotem表示，該網(wǎng)站幾乎沒有加密證據(jù)，在某些情況下根本沒有。

“一些遭泄露的訂單內(nèi)容非?！毖邸?，”羅特姆說。暴露的訂單不僅違反了客戶隱私，暴露的數(shù)據(jù)還可能危及世界上言論和表達自由受限地區(qū)的客戶。例如，一些性玩具和其他私密購買的產(chǎn)品，可能會在那些禁止LGBTQ +關系或婚前性行為的國家里引起法律問題。

像在阿拉伯聯(lián)合酋長國和巴基斯坦這樣出臺了相關嚴格法律的國家中，甚至可能會被判死刑。

Rotem還在同一IP地址上發(fā)現(xiàn)了一個單獨的基于Web的數(shù)據(jù)庫管理系統(tǒng)，允許任何人操縱或破壞Gearbest母公司Globalegrow運行的數(shù)據(jù)庫。

目前尚不清楚服務器的曝光時間。來自互聯(lián)網(wǎng)掃描站點Binary Edge的數(shù)據(jù)顯示，該數(shù)據(jù)庫于3月7日首次被檢測到。

總部位于深圳的Gearbest在歐洲擁有大量業(yè)務，在西班牙、波蘭、捷克共和國和英國設有倉庫，這些國家都適用歐盟數(shù)據(jù)保護和隱私法。任何違反通用數(shù)據(jù)保護法規(guī)（GDPR）的公司都可能被罰款高達其全球收入的4％。

這是Gearbest多年來發(fā)生的第二個安全問題。2017年12月，該公司證實，在所謂的“憑證填充物攻擊”之后，該公司的賬戶被攻破。

針對此事，雨果網(wǎng)也與Gearbest網(wǎng)站相關負責人進行確認，對方表示并未造成泄露。