大事件：跨境平台Gearbest遭遇数据泄露危机！

亚马逊可能是电子商务的国际代名词，但也有其他参与者，特别是在其他地区和较小的市场，比如来自中国的阿里巴巴和Gearbest。其中，环球易购作为出口电商佼佼者，该旗下的3C电子产品类平台Gearbest.com桌面端优势明显，其客户数量可达数百万。

然而，近日美鸥网却从外媒获悉，安全研究人员发现，这家环球易购（Globalegrow）旗下自营网站Gearbest泄露了数百万用户的档案和购物订单。

据报道，由以色列安全研究员Noam Rotem领导的VPNMentor团队能够通过入侵后的订单，付款和客户数据（包括护照信息和帐户密码）访问个人数据。本月，该团队共发现了超过150万个数据库条目。根据研究人员的说法，Elasticsearch数据库没有受到保护，许多数据（如密码）都没有加密。

作为在线商店数据库暴露最糟糕的一个例子，VPNMentor报告它可以看到一些成人用品玩具购买者的个人数据，如果这一问题被政府掌握，可能会在某些国家引起严重的麻烦。

研究人员还从Gearbest和母公司Globalegrow获得了访问Kafka数据管理系统的URL。这将允许恶意方禁用整个服务器部分。

据美鸥网了解，在电子商务网站Gearbest中，有一项隐私政策，明确向客户保证：除了说明它收集的数据外，它还告诉用户这些细节将通过加密得到彻底保护。

发现并测试数据泄露的vpnMentor向Gearbest告诉记者，不仅仅是身份盗用的威胁，Gearbest还缺乏行业标准的安全实践，对用户构成潜在的情感甚至身体威胁。数据库可以交叉引用，以找到有关用户的犯罪信息，这些信息可能会在以后被用来敲诈他们，或者更糟糕的是，将他们交给政府。不幸的是，该公司尚未采取行动甚至回应报告。

事实上，据美鸥网所知，这已经是Gearbest近几年来的第二次出现安全问题了。早在2017年12月，该公司被证实，在所谓的“凭证填充物攻击”之后，该公司的账户被攻破。

总部位于深圳的Gearbest已经运营了十多年，并在欧洲拥有大量业务，是中国顶级购物平台之一，并且在全球排名前250位。而且在西班牙，波兰，捷克共和国和英国设有仓库，这些国家都适用欧盟数据保护和隐私法。任何违反通用数据保护法规（GDPR）的公司都可能被罚款高达其全球收入的4％。因此这种泄漏不仅会损害公司的声誉，还会导致其遭受巨额罚款。

编译/美鸥网  Yan.