外媒称Gearbest泄露数百万用户个人数据

2019-3-19 10:20| 发布者: admin| 查看: 377| 评论: 0

摘要: 3月17日,亿邦动力获悉,据外媒报道,国外安全研究人员发现,环球易购旗下自营网站Gearbest泄露了其平台数百万用户的个人资料和购物订单数据。该安全研究员Noam Rotem发现一台名为Elasticsearch服务器每周泄露数百万 ...
3月17日,亿邦动力获悉,据外媒报道,国外安全研究人员发现,环球易购旗下自营网站Gearbest泄露了其平台数百万用户的个人资料和购物订单数据。

该安全研究员Noam Rotem发现一台名为Elasticsearch服务器每周泄露数百万条交易记录,包括客户数据、订单和支付记录。且该服务器没有密码保护,任何人都可以进行数据搜索。

Rotem向美国科技类网站TechCrunch分享了他的这一发现,并在VPNMentor上发表了他的调查报告。他称,Gearbest所泄露的数据包括名称、地址、电话号码、电子邮件地址、客户订单和购买的产品。该数据库还有付款和发票信息,包括支出金额和半屏蔽姓名以及电子邮件地址。

TechCrunch通过其用来保护数据库的专用安全页面联系了Gearbest,发现该公司既没有保护数据也没有回应他们的评论请求。

在审查了部分数据后,TechCrunch发现,该数据库准确地显示了消费者所购买的物品,以及物品发货的时间和地点。一些会员专用的记录还包括其护照号码和其他国家身份证号码数据。Rotem称,Gearbest网站几乎没有加密证据,在某些情况下根本没有。

Rotem称,这些曝光的订单不仅侵犯了客户的隐私,而且这些暴露的数据还可能危及到一些言论和表达自由受到限制的地区的用户。例如,一些性玩具和其他私密购买的清单可能会在那些禁止LGBTQ+关系或婚前性行为的国家里引起法律问题。甚至像在阿拉伯联合酋长国和巴基斯坦等一些有相关严格法律的国家中,可能会被判死刑。

此外,Rotem还在同一个IP地址上发现了一个单独的基于web的公开数据库管理系统,该系统允许任何人操纵或破坏Gearbest的母公司Globalegrow运行的数据库。来自互联网扫描网站Binary Edge的数据显示,该数据库于3月7日首次被检测到。

据了解,Gearbest是环球易购旗下自营网站之一,也是全球排名前250的网站。其主要服务于包括华硕、华为、英特尔和联想在内的顶级品牌。同时,Gearbest也在欧洲拥有大量业务,在西班牙、波兰、捷克共和国和英国都设有仓库,适用欧盟数据保护和隐私法。

亿邦动力了解到,欧盟于2018年5月25日生效的《欧盟数据保护通用条例》,被誉为最严格的个人数据保护方案,取代了其于1995年颁布的《数据保护指令》(Data Protection Directive 95/46/EC)。该条例的主要亮点在于提高对欧盟公民的隐私保护力度和范围,在欧盟范围内确立基础性的一些原则和处理方法。

该条例规定,任何违反《通用数据保护条例》(GDPR)的公司都将被处以最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%的罚金,以高者为准。而如果此次情况被证实,Gearbest或将面临巨额的罚金

据悉,这是Gearbest多年来遇到的第二个安全问题。在2017年12月,该公司被证实,在所谓的“证件填充物攻击”之后,其账户被攻破。(来源:亿邦动力)

南宁市电子商务服务平台(http://www.nnecps.com )是以服务南宁市电子商务发展为宗旨而建立的综合性服务平台。利用平台聚集电子商务服务资源,打造南宁市电子商务服务体系,并围绕着我市中小微企业及传统企业转型升级及电商化的共性需求,提供“动态资讯、电商学院、第三方服务、人才基地、产业基地、项目申报、申请入会”七大基础服务版块,并融入“创业大赛、电商数据、特色农产品、活动中心、淘宝特色中国南宁馆”等特色服务专区,为企业提供电子商务一站式服务,打造南宁市电子商务生态圈。

版权声明

本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章版权归原作者所有,内容为作者个人观点,本站只提供参考并不构成任何投资及应用建议。

此版权声明解释权归南宁市电子商务服务平台所有。

登录 返回顶部