外媒：中国跨境大卖旗下自营网站Gearbest泄露数百万用户档案和订单！

有外媒报道，据称某大卖旗下网站Gearbest泄露了数百万用户的档案和购物订单。

TechCrunch报道称，安全研究人员Noam Rotem发现一个名为Elasticsearch的服务器每周泄露了数百万条记录，包括客户数据、订单和付款记录。该服务器未受密码保护，允许任何人搜索数据。

TechCrunch通过其专用安全页面（用来保护数据库）联系了Gearbest ，发现该公司既没有保护数据也没有回复他们的评论请求。

Rotem与TechCrunch分享了他的调查结果，并在VPNMentor上发布了他的报告。他说，所泄露的数据包括名称、地址、电话号码、电子邮件地址、客户订单和购买的产品。该数据库还有付款和发票信息，包括支出金额和半屏蔽姓名以及电子邮件地址。

在查看了部分数据后，TechCrunch发现数据库确切地显示了客户购买的内容，物品发货的时间和地点。

一些会员专用记录还包括护照号码和其他国家身份证号码。Rotem表示，该网站几乎没有加密证据，在某些情况下根本没有。

“一些遭泄露的订单内容非常‘辣眼’，”罗特姆说。暴露的订单不仅违反了客户隐私，暴露的数据还可能危及世界上言论和表达自由受限地区的客户。例如，一些性玩具和其他私密购买的产品，可能会在那些禁止LGBTQ +关系或婚前性行为的国家里引起法律问题。

像在阿拉伯联合酋长国和巴基斯坦这样出台了相关严格法律的国家中，甚至可能会被判死刑。

Rotem还在同一IP地址上发现了一个单独的基于Web的数据库管理系统，允许任何人操纵或破坏Gearbest母公司Globalegrow运行的数据库。

目前尚不清楚服务器的曝光时间。来自互联网扫描站点Binary Edge的数据显示，该数据库于3月7日首次被检测到。

总部位于深圳的Gearbest在欧洲拥有大量业务，在西班牙、波兰、捷克共和国和英国设有仓库，这些国家都适用欧盟数据保护和隐私法。任何违反通用数据保护法规（GDPR）的公司都可能被罚款高达其全球收入的4％。

这是Gearbest多年来发生的第二个安全问题。2017年12月，该公司证实，在所谓的“凭证填充物攻击”之后，该公司的账户被攻破。

“我们的调查结论是，用户信息不太可能是从我们系统中泄露出去的。可能是恶意用户从其他网站购买和/或窃取用户登录信息，并试图查看这些数据是否可以访问GearBest。据我们所知，这些黑客使用一些特殊的软件，方便上传大量从其他网站泄露的数据，试图用一组高风险的IP欺骗性地登录Gearbest。”

(文章素材来源于网络，侵删)