中國跨境平臺Gearbest數(shù)據(jù)被泄露：含數(shù)百萬用戶和訂單數(shù)據(jù)-ESG跨境

北京時間3月15日上午消息，美國科技科技媒體TechCrunch報道，一名安全研究人員發(fā)現(xiàn)，中國環(huán)球易購(Globalegrow)旗下自營網(wǎng)站Gearbest泄露了數(shù)百萬用戶資料和購物訂單。

研究人員諾姆·羅特姆(Roam Rotem)發(fā)現(xiàn)，一個Elasticsearch服務器每周都會泄露數(shù)百萬條記錄，包括客戶數(shù)據(jù)、訂單和支付記錄。該服務器并沒有用密碼保護，所有人都可以搜索到這些數(shù)據(jù)。

Gearbest網(wǎng)站排名全球前250位，為華碩、華為、英特爾和聯(lián)想等品牌提供服務。

已經通過該公司的專用安全頁面與之取得聯(lián)系。但Gearbest尚未作出回應，也沒有對數(shù)據(jù)加以保護。

羅特姆已公開了他的發(fā)現(xiàn)，他表示，泄露的數(shù)據(jù)中包含用戶姓名、地址、電話號碼、電子郵箱和訂單及產品信息。該數(shù)據(jù)庫還包含支付和發(fā)票信息，附帶有支付金額以及半隱藏的姓名和電子郵件地址。

在對部分數(shù)據(jù)進行評估后，TechCrunch發(fā)現(xiàn)該數(shù)據(jù)庫可以查到用戶購買商品的時間和郵寄地址。

其中一些會員訂單還包含護照號等身份信息。羅特姆表示，該數(shù)據(jù)庫并沒有多少加密措施，有的甚至完全沒有加密。

魯特曼還在相同的IP地址上發(fā)現(xiàn)了另外一個網(wǎng)絡數(shù)據(jù)庫管理系統(tǒng)，讓所有人都可以操縱和破壞Gearbest母公司環(huán)球易購的數(shù)據(jù)庫。

目前還不清楚這些數(shù)據(jù)庫曝光了多長時間?；ヂ?lián)網(wǎng)掃描網(wǎng)站Binary Edge的數(shù)據(jù)顯示，這些數(shù)據(jù)庫是在3月7日首次被探測到的。

總部位于深圳的Gearbest在歐洲觸角很廣，在西班牙、波蘭、捷克共和國和英國都設有倉庫，那里都要遵守歐洲的隱私保護法。任何違反《通用數(shù)據(jù)保護條例》(GDPR)的企業(yè)都有可能面臨最多相當于全球年營收4%的罰款。

這是Gearbest近年來遭遇的第二起安全事故。該公司2017年12月曾經證實其帳號信息泄露。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發(fā)表后的30日內與ESG跨境電商聯(lián)系。