北京時(shí)間3月15日上午消息，美國科技科技媒體TechCrunch報(bào)道，一名安全研究人員發(fā)現(xiàn)，中國環(huán)球易購(Globalegrow)旗下自營網(wǎng)站Gearbest泄露了數(shù)百萬用戶資料和購物訂單。

研究人員諾姆·羅特姆(Roam Rotem)發(fā)現(xiàn)，一個(gè)Elasticsearch服務(wù)器每周都會(huì)泄露數(shù)百萬條記錄，包括客戶數(shù)據(jù)、訂單和支付記錄。該服務(wù)器并沒有用密碼保護(hù)，所有人都可以搜索到這些數(shù)據(jù)。

Gearbest網(wǎng)站排名全球前250位，為華碩、華為、英特爾和聯(lián)想等品牌提供服務(wù)。

已經(jīng)通過該公司的專用安全頁面與之取得聯(lián)系。但Gearbest尚未作出回應(yīng)，也沒有對(duì)數(shù)據(jù)加以保護(hù)。

羅特姆已公開了他的發(fā)現(xiàn)，他表示，泄露的數(shù)據(jù)中包含用戶姓名、地址、電話號(hào)碼、電子郵箱和訂單及產(chǎn)品信息。該數(shù)據(jù)庫還包含支付和發(fā)票信息，附帶有支付金額以及半隱藏的姓名和電子郵件地址。

在對(duì)部分?jǐn)?shù)據(jù)進(jìn)行評(píng)估后，TechCrunch發(fā)現(xiàn)該數(shù)據(jù)庫可以查到用戶購買商品的時(shí)間和郵寄地址。

其中一些會(huì)員訂單還包含護(hù)照號(hào)等身份信息。羅特姆表示，該數(shù)據(jù)庫并沒有多少加密措施，有的甚至完全沒有加密。

魯特曼還在相同的IP地址上發(fā)現(xiàn)了另外一個(gè)網(wǎng)絡(luò)數(shù)據(jù)庫管理系統(tǒng)，讓所有人都可以操縱和破壞Gearbest母公司環(huán)球易購的數(shù)據(jù)庫。

目前還不清楚這些數(shù)據(jù)庫曝光了多長時(shí)間。互聯(lián)網(wǎng)掃描網(wǎng)站Binary Edge的數(shù)據(jù)顯示，這些數(shù)據(jù)庫是在3月7日首次被探測(cè)到的。

總部位于深圳的Gearbest在歐洲觸角很廣，在西班牙、波蘭、捷克共和國和英國都設(shè)有倉庫，那里都要遵守歐洲的隱私保護(hù)法。任何違反《通用數(shù)據(jù)保護(hù)條例》(GDPR)的企業(yè)都有可能面臨最多相當(dāng)于全球年?duì)I收4%的罰款。

這是Gearbest近年來遭遇的第二起安全事故。該公司2017年12月曾經(jīng)證實(shí)其帳號(hào)信息泄露。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。