惊呆!中国一跨境大卖旗下独立站被曝泄露百万用户的数据
在互联网飞速发展的时代,无论是在学习、工作、出行还是其他方面,大数据已经渗透到了我们的生活中的每个角落,为我们提供着各种便利。然而,现如今,网络用户的数据也存着不少安全问题。这几年,国内外媒体对于数据泄露的报道也屡见不鲜。
昨日, 卖家之家获悉,有不少外媒又开始报道关于数据泄露的新闻。值得注意的是,小编发现,这次泄露用户数据的“主角”竟是来自中国的跨境平台Gearbest。
跨境猎平台Gearbest用户数据暴露
卖家之家获悉,该消息最早由VPNMentor平台曝出。在著名的白帽黑客和活动家(以色列安全研究员)Noam Rotem的领导下,该平台研究团队发现了Gearbest的一个重大安全漏洞,威胁着数百万用户的敏感数据。
——图源:VPNMentor报道的截图
此外,据安全研究员Noam Rotem透露, 他还发现一台Elasticsearch服务器每周泄露数百万条记录,包括用户数据,订单和付款记录。服务器未受密码保护,允许任何人搜索数据。
不仅如此,Noam Rotem还补充称,他们的黑客可以访问Gearbest数据库的不同部分。
包括:
会员数据库
数据包括用户名、地址、出生日期、电话号码、电子邮件地址、IP地址、国民身份证和护照信息、帐户密码等。
订单数据库
数据包括购买的产品、送货地址和邮政编码、顾客姓名、电子邮件地址、电话号码等。
付款和发票数据库
数据包括订单号、 支付方式、支付信息、电子邮件地址、用户名、IP地址等。
这还不算,从VPNMentor调查曝光的消息中,卖家之家了解到,其安全研究团队在2019年3月访问了这些数据库,共发现了150多万条记录。
甚至他们还在其平台的新闻报道中,分享了一部分个订单,用户信息等。
以下是其中被曝光的部分内容:
1、付款信息
——图源:VPNMentor
2、法案
——图源:VPNMentor
3、关于情色玩具购物者的信息
——图源:VPNMentor
由于Gearbest销售许多“成人”产品,订单的某些数据可能使得用户蒙羞成为其他不法分子手中敲诈勒索的把柄。
据悉,几乎所有数据(包括密码和敏感人员标识符)都未加密。Noam Rotem还指出,电商平台不必要地收集了大量的用户个人数据,超出了交付订单所需的数据。在某种程度上存在窃取某些客户身份的风险。
与此同时,卖家之家还了解到,研究人员还获得了Gearbest和母公司Globalegrow的Kafke数据管理系统的URL访问权限。这将允许恶意方禁用整个服务器部分。
目前,研究人员通过Gearbest平台 “报告安全问题”页面的联系方式联系了他们,以保护该数据库的安全,但尚未收到回应。
——图源:VPNMentor
关于Gearbest
Gearbest是一家跨境电商平台,其隶属于属于中国Globalegrow(环球易购)集团,目前该平台的业务遍布全球250多个国家和地区。
——图源:Gearbest官网
卖家之家还了解到,Gearbest已经运营了十多年,在全球排名前250位。
关于Gearbest因安全漏洞暴露用户数据的问题,是否会对该平台带来更大的负面影响,卖家之家觉得尚且还不好做定论。不过,目前了解到的信息是,该公司还在欧洲经营仓库,适用GDPR规定,因此这次泄露数据不仅会损害公司声誉,可能还会面临巨额罚款。接下来,就看他们怎么处理了。
(卖家之家/原创:危伟)
