大事件:跨境平台Gearbest遭遇数据泄露危机!


亚马逊可能是电子商务的国际代名词,但也有其他参与者,特别是在其他地区和较小的市场,比如来自中国的阿里巴巴和Gearbest。其中,环球易购作为出口电商佼佼者,该旗下的3C电子产品类平台Gearbest.com桌面端优势明显,其客户数量可达数百万。
然而,近日美鸥网却从外媒获悉,安全研究人员发现,这家环球易购(Globalegrow)旗下自营网站Gearbest泄露了数百万用户的档案和购物订单。
跨境平台Gearbest数据被泄露
据报道,由以色列安全研究员Noam Rotem领导的VPNMentor团队能够通过入侵后的订单,付款和客户数据(包括护照信息和帐户密码)访问个人数据。本月,该团队共发现了超过150万个数据库条目。根据研究人员的说法,Elasticsearch数据库没有受到保护,许多数据(如密码)都没有加密。
作为在线商店数据库暴露最糟糕的一个例子,VPNMentor报告它可以看到一些成人用品玩具购买者的个人数据,如果这一问题被政府掌握,可能会在某些国家引起严重的麻烦。
研究人员还从Gearbest和母公司Globalegrow获得了访问Kafka数据管理系统的URL。这将允许恶意方禁用整个服务器部分。
或将构成潜在威胁
据美鸥网了解,在电子商务网站Gearbest中,有一项隐私政策,明确向客户保证:除了说明它收集的数据外,它还告诉用户这些细节将通过加密得到彻底保护。
发现并测试数据泄露的vpnMentor向Gearbest告诉记者,不仅仅是身份盗用的威胁,Gearbest还缺乏行业标准的安全实践,对用户构成潜在的情感甚至身体威胁。数据库可以交叉引用,以找到有关用户的犯罪信息,这些信息可能会在以后被用来敲诈他们,或者更糟糕的是,将他们交给政府。不幸的是,该公司尚未采取行动甚至回应报告。
事实上,据美鸥网所知,这已经是Gearbest近几年来的第二次出现安全问题了。早在2017年12月,该公司被证实,在所谓的“凭证填充物攻击”之后,该公司的账户被攻破。
总部位于深圳的Gearbest已经运营了十多年,并在欧洲拥有大量业务,是中国顶级购物平台之一,并且在全球排名前250位。而且在西班牙,波兰,捷克共和国和英国设有仓库,这些国家都适用欧盟数据保护和隐私法。任何违反通用数据保护法规(GDPR)的公司都可能被罚款高达其全球收入的4%。因此这种泄漏不仅会损害公司的声誉,还会导致其遭受巨额罚款。
编译/美鸥网 Yan.