外媒：中國(guó)跨境大賣旗下自營(yíng)網(wǎng)站Gearbest泄露數(shù)百萬(wàn)用戶檔案和訂單！

據(jù)外媒報(bào)道，安全研究人員發(fā)現(xiàn)，中國(guó)跨境大賣旗下自營(yíng)網(wǎng)站Gearbest泄露了數(shù)百萬(wàn)用戶的檔案和購(gòu)物訂單。

安全研究員Noam Rotem發(fā)現(xiàn)一個(gè)名為Elasticsearch的服務(wù)器每周泄露了數(shù)百萬(wàn)條記錄，包括客戶數(shù)據(jù)、訂單和付款記錄。該服務(wù)器未受密碼保護(hù)，允許任何人搜索數(shù)據(jù)。

Gearbest是全球250強(qiáng)網(wǎng)站之一，服務(wù)于華碩、華為、英特爾和聯(lián)想等頂級(jí)品牌。

TechCrunch通過(guò)其專用安全頁(yè)面（用來(lái)保護(hù)數(shù)據(jù)庫(kù)）聯(lián)系了Gearbest ，發(fā)現(xiàn)該公司既沒(méi)有保護(hù)數(shù)據(jù)也沒(méi)有回復(fù)他們的評(píng)論請(qǐng)求。

Rotem與TechCrunch分享了他的調(diào)查結(jié)果，并在VPNMentor上發(fā)布了他的報(bào)告。他說(shuō)，所泄露的數(shù)據(jù)包括名稱、地址、電話號(hào)碼、電子郵件地址、客戶訂單和購(gòu)買的產(chǎn)品。該數(shù)據(jù)庫(kù)還有付款和發(fā)票信息，包括支出金額和半屏蔽姓名以及電子郵件地址。

在查看了部分?jǐn)?shù)據(jù)后，TechCrunch發(fā)現(xiàn)數(shù)據(jù)庫(kù)確切地顯示了客戶購(gòu)買的內(nèi)容，物品發(fā)貨的時(shí)間和地點(diǎn)。

一些會(huì)員專用記錄還包括護(hù)照號(hào)碼和其他國(guó)家身份證號(hào)碼。Rotem表示，該網(wǎng)站幾乎沒(méi)有加密證據(jù)，在某些情況下根本沒(méi)有。

“一些遭泄露的訂單內(nèi)容非?！毖邸?，”羅特姆說(shuō)。暴露的訂單不僅違反了客戶隱私，暴露的數(shù)據(jù)還可能危及世界上言論和表達(dá)自由受限地區(qū)的客戶。例如，一些性玩具和其他私密購(gòu)買的產(chǎn)品，可能會(huì)在那些禁止LGBTQ +關(guān)系或婚前性行為的國(guó)家里引起法律問(wèn)題。

像在阿拉伯聯(lián)合酋長(zhǎng)國(guó)和巴基斯坦這樣出臺(tái)了相關(guān)嚴(yán)格法律的國(guó)家中，甚至可能會(huì)被判死刑。

Rotem還在同一IP地址上發(fā)現(xiàn)了一個(gè)單獨(dú)的基于Web的數(shù)據(jù)庫(kù)管理系統(tǒng)，允許任何人操縱或破壞Gearbest母公司Globalegrow運(yùn)行的數(shù)據(jù)庫(kù)。

目前尚不清楚服務(wù)器的曝光時(shí)間。來(lái)自互聯(lián)網(wǎng)掃描站點(diǎn)Binary Edge的數(shù)據(jù)顯示，該數(shù)據(jù)庫(kù)于3月7日首次被檢測(cè)到。

總部位于深圳的Gearbest在歐洲擁有大量業(yè)務(wù)，在西班牙、波蘭、捷克共和國(guó)和英國(guó)設(shè)有倉(cāng)庫(kù)，這些國(guó)家都適用歐盟數(shù)據(jù)保護(hù)和隱私法。任何違反通用數(shù)據(jù)保護(hù)法規(guī)（GDPR）的公司都可能被罰款高達(dá)其全球收入的4％。

這是Gearbest多年來(lái)發(fā)生的第二個(gè)安全問(wèn)題。2017年12月，該公司證實(shí)，在所謂的“憑證填充物攻擊”之后，該公司的賬戶被攻破。

針對(duì)此事，雨果網(wǎng)也與Gearbest網(wǎng)站相關(guān)負(fù)責(zé)人進(jìn)行確認(rèn)，對(duì)方表示并未造成泄露。