中国跨境平台Gearbest数据被泄露：含数百万用户和订单数据-ESG跨境

北京时间3月15日上午消息，美国科技科技媒体TechCrunch报道，一名安全研究人员发现，中国环球易购(Globalegrow)旗下自营网站Gearbest泄露了数百万用户资料和购物订单。

研究人员诺姆·罗特姆(Roam Rotem)发现，一个Elasticsearch服务器每周都会泄露数百万条记录，包括客户数据、订单和支付记录。该服务器并没有用密码保护，所有人都可以搜索到这些数据。

Gearbest网站排名全球前250位，为华硕、华为、英特尔和联想等品牌提供服务。

已经通过该公司的专用安全页面与之取得联系。但Gearbest尚未作出回应，也没有对数据加以保护。

罗特姆已公开了他的发现，他表示，泄露的数据中包含用户姓名、地址、电话号码、电子邮箱和订单及产品信息。该数据库还包含支付和发票信息，附带有支付金额以及半隐藏的姓名和电子邮件地址。

在对部分数据进行评估后，TechCrunch发现该数据库可以查到用户购买商品的时间和邮寄地址。

其中一些会员订单还包含护照号等身份信息。罗特姆表示，该数据库并没有多少加密措施，有的甚至完全没有加密。

鲁特曼还在相同的IP地址上发现了另外一个网络数据库管理系统，让所有人都可以操纵和破坏Gearbest母公司环球易购的数据库。

目前还不清楚这些数据库曝光了多长时间。互联网扫描网站Binary Edge的数据显示，这些数据库是在3月7日首次被探测到的。

总部位于深圳的Gearbest在欧洲触角很广，在西班牙、波兰、捷克共和国和英国都设有仓库，那里都要遵守欧洲的隐私保护法。任何违反《通用数据保护条例》(GDPR)的企业都有可能面临最多相当于全球年营收4%的罚款。

这是Gearbest近年来遭遇的第二起安全事故。该公司2017年12月曾经证实其帐号信息泄露。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。