3月17日,亿邦动力获悉,国外安全研究人员发现,环球易购旗下自营网站Gearbest泄露了其平台数百万用户的个人资料和购物订单数据。
该安全研究员Noam Rotem发现一台名为Elasticsearch服务器每周泄露数百万条交易记录,包括客户数据、订单和支付记录。且该服务器没有密码保护,任何人都可以进行数据搜索。
Rotem向美国科技类网站TechCrunch分享了他的这一发现,并在VPNMentor上发表了他的调查报告。他称,Gearbest所泄露的数据包括名称、地址、电话号码、电子邮件地址、客户订单和购买的产品。该数据库还有付款和发票信息,包括支出金额和半屏蔽姓名以及电子邮件地址。
TechCrunch通过其用来保护数据库的专用安全页面联系了Gearbest,发现该公司既没有保护数据也没有回应他们的评论请求。
在审查了部分数据后,TechCrunch发现,该数据库准确地显示了消费者所购买的物品,以及物品发货的时间和地点。一些会员专用的记录还包括其护照号码和其他国家身份证号码数据。Rotem称,Gearbest网站几乎没有加密证据,在某些情况下根本没有。
Rotem称,这些曝光的订单不仅侵犯了客户的隐私,而且这些暴露的数据还可能危及到一些言论和表达自由受到限制的地区的用户。例如,一些性玩具和其他私密购买的清单可能会在那些禁止LGBTQ+关系或婚前性行为的国家里引起法律问题。甚至像在阿拉伯联合酋长国和巴基斯坦等一些有相关严格法律的国家中,可能会被判死刑。
此外,Rotem还在同一个IP地址上发现了一个单独的基于web的公开数据库管理系统,该系统允许任何人操纵或破坏Gearbest的母公司Globalegrow运行的数据库。来自互联网扫描网站Binary Edge的数据显示,该数据库于3月7日首次被检测到。
据了解,Gearbest是环球易购旗下自营网站之一,也是全球排名前250的网站。其主要服务于包括华硕、华为、英特尔和联想在内的顶级品牌。同时,Gearbest也在欧洲拥有大量业务,在西班牙、波兰、捷克共和国和英国都设有仓库,适用欧盟数据保护和隐私法。
亿邦动力了解到,欧盟于2018年5月25日生效的《欧盟数据保护通用条例》,被誉为最严格的个人数据保护方案,取代了其于1995年颁布的《数据保护指令》(Data Protection Directive 95/46/EC)。该条例的主要亮点在于提高对欧盟公民的隐私保护力度和范围,在欧盟范围内确立基础性的一些原则和处理方法。
该条例规定,任何违反《通用数据保护条例》(GDPR)的公司都将被处以最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%的罚金,以高者为准。而如果此次情况被证实,Gearbest或将面临巨额的罚金。
据悉,这是Gearbest多年来遇到的第二个安全问题。在2017年12月,该公司被证实,在所谓的“证件填充物攻击”之后,其账户被攻破