以前,经常看到外媒报道外国科技巨头公司数据泄露。今天,有外媒报道说中国跨境电商巨头Gearbest的数百万客户交易记录被泄露了。
震惊!中国跨境巨头数据泄露被外媒曝光
TechCrunch报道说,安全研究人员发现,中国在线购物巨头Gearbest泄露了数百万用户的个人资料和购物订单。
安全研究员Noam Rotem发现,一个名为Elasticsearch的服务器每周泄露数百万条记录,包括客户数据、订单和支付记录。这个服务器没有密码保护,任何人都可以在上面搜索数据。
Gearbest是中国知名跨境电商公司旗下的B2C电商平台,也是全球排名前250的网站之一,服务于包括华硕、华为、英特尔和联想在内的顶级品牌。
TechCrunch表示,他们通过专用安全页面联系了Gearbest,以保护该数据库,但是该公司既没有保护这些数据,也没有回应他们的置评请求。
Rotem与TechCrunch分享了他的发现,并在VPNMentor上发表了他的报告。他说,暴露的数据包括姓名、地址、电话号码、电子邮件地址、客户订单以及购买的产品。该数据库还包含付款和发票信息,以及已消费金额、半掩码姓名和电子邮件地址。
在审查了部分数据后,TechCrunch发现,该数据库准确地显示了客户购买了什么、以及这些商品是何时何地发货的。
一些特定于会员的记录还包括护照号码和其他国家ID数据。Rotem说,几乎没有证据表明这些数据加密了,在某些情况下根本没有。
“事实证明,有些人的订单内容非常发人深省,”Rotem说。这些曝光的订单不仅侵犯了客户的隐私,而且在言论自由和表达自由受到限制的某些地区,这些曝光的数据可能会危及客户。
例如,一些性玩具和其他私密购买的清单可能会带来法律问题,尤其是在那些LGBTQ+关系或婚前性行为被禁止的地区。像阿拉伯联合酋长国和巴基斯坦等国家的一些法律非常严格,可能会导致死刑。在巴基斯坦,通奸和婚前性行为是犯罪行为,可判处监禁和罚款,该国的宗·教·法·律也允许用石头砸死或体罚这类的犯罪人员。
Rotem还在同一个IP地址上发现了一个单独的公开的基于web的数据库管理系统,任何人都可以操纵或破坏Gearbest的母公司Globalegrow运行的这个数据库。
目前,还不清楚这个服务器被暴露了多长时间,来自互联网扫描网站Binary Edge的数据显示,该数据库于3月7日首次被检测到。
我们看一下Rotem的具体报告:↓↓
在著名的白帽黑客和活动家Noam Rotem的带领下,VPNMentor的研究团队发现了Gearbest的一个重大安全漏洞。
Gearbest是一家非常成功的中国电子商务公司,每天都有数十万的销售额。该网站销售一系列电子产品和电器,以及服装、配件和家居用品。虽然该公司也销售像OnePlus这样的一些国际知名品牌,但大多数都是规模较小的中国品牌。
Gearbest的业务遍及全球250多个国家和地区,在其中将近30%的国家及地区内,Gearbest都位列其网站TOP 100中。此外,Gearbest拥有18种语言的子域,颇具有全球吸引力。
Gearbest为中国企业集团Globalegrow所有,该母公司经营的几个网站在国际上都获得了成功,包括Zaful、Rosegal和DressLily。2015年,他们的销售额达到5.5亿美元,2017年,该公司庆祝其营业额达到了14.8亿美元。
该公司的巨大成功也是Gearbest及其姊妹公司的一次胜利。然而,对于这些网站的客户来说,这并不是什么好消息。
vpnMentor可以独家证明,Gearbest的数据库是完全不安全的——就像它的姐妹公司的数据库一样。
一,Gearbest泄露的数据
我们的黑客可以访问Gearbest数据库的不同部分,包括——
1,订单数据库:数据包括购买的产品,送货地址及邮政编码,客户名字,电子邮件地址,电话号码。
2,付款及发票数据库:数据包括订单号、付款类型、支付信息、电子邮件地址、名字、IP地址。
3,会员数据库:数据包括名字、地址、出生日期、电话号码、电子邮件地址、IP地址、国民身份证、护照信息、账户密码。
我们在2019年3月访问了这些数据库,发现了150多万条记录。
Gearbest的数据库不仅仅是不安全的,它还为潜在的恶意代理提供了不断更新的新数据。
二,安全问题
除了我们能够访问的数百万用户的完整个人身份信息,Gearbest的数据泄露还引发了其他几个非常严重的问题,包括用户隐私、用户在线安全、用户的银行账户安全、私密订单带来的法律隐患等。
三,数据泄露对Gearbest自身的伤害
我们的黑客发现的索引不只是针对他们的用户数据库,还包括访问Gearbest和Globalegrow的Kafka系统的URL。
Kafka是一个数据管理程序,帮助大公司控制通过每个服务器发送的站点数据量。这样做有两个目的:防止服务器超载并保持效率,允许公司收集大数据。
在这种情况下,恶意黑客也可以操纵信息、重新分配数据库属性,甚至禁用公司服务器的整个部分。根据每个服务器的功能,这可能会破坏数据收集、订单安排、库存和仓库管理。
总部位于深圳的Gearbest在欧洲拥有大量业务,在西班牙、波兰、捷克共和国和英国都设有仓库,欧盟数据保护和隐私法在这些国家也适用。任何违反《通用数据保护条例》(GDPR)的公司都将被处以高达其全球收入4%的罚款。
这是Gearbest多年来遇到的第二个安全问题。2017年12月,有外媒报道GearBest可能受到黑客攻击,最后GearBest声明:他们的IT部门已经调查了这个问题,并且确定了几百个可能被曝光的账户。
“我们的调查结论是,用户信息不太可能是从我们系统中泄露出去的。可能是恶意用户从其他网站购买和/或窃取用户登录信息,并试图查看这些数据是否可以访问GearBest。据我们所知,这些黑客使用一些特殊的软件,方便上传大量从其他网站泄露的数据,试图用一组高风险的IP欺骗性地登录Gearbest。”
(编辑:安吉)