跨境平臺Gearbest數(shù)據(jù)被泄露

TechCrunch報(bào)道說，安全研究人員發(fā)現(xiàn)，中國在線購物巨頭Gearbest泄露了數(shù)百萬用戶的個人資料和購物訂單。

安全研究員Noam Rotem發(fā)現(xiàn)，一個名為Elasticsearch的服務(wù)器每周泄露數(shù)百萬條記錄，包括客戶數(shù)據(jù)、訂單和支付記錄。這個服務(wù)器沒有密碼保護(hù)，任何人都可以在上面搜索數(shù)據(jù)。

Gearbest是中國知名跨境電商公司旗下的B2C電商平臺，也是全球排名前250的網(wǎng)站之一，服務(wù)于包括華碩、華為、英特爾和聯(lián)想在內(nèi)的頂級品牌。

TechCrunch表示，他們通過專用安全頁面聯(lián)系了Gearbest，以保護(hù)該數(shù)據(jù)庫，但是該公司既沒有保護(hù)這些數(shù)據(jù)，也沒有回應(yīng)他們的置評請求。

Rotem與TechCrunch分享了他的發(fā)現(xiàn)，并在VPNMentor上發(fā)表了他的報(bào)告。他說，暴露的數(shù)據(jù)包括姓名、地址、電話號碼、電子郵件地址、客戶訂單以及購買的產(chǎn)品。該數(shù)據(jù)庫還包含付款和發(fā)票信息，以及已消費(fèi)金額、半掩碼姓名和電子郵件地址。

在審查了部分?jǐn)?shù)據(jù)后，TechCrunch發(fā)現(xiàn)，該數(shù)據(jù)庫準(zhǔn)確地顯示了客戶購買了什么、以及這些商品是何時何地發(fā)貨的。

一些特定于會員的記錄還包括護(hù)照號碼和其他國家ID數(shù)據(jù)。Rotem說，幾乎沒有證據(jù)表明這些數(shù)據(jù)加密了，在某些情況下根本沒有。

“事實(shí)證明，有些人的訂單內(nèi)容非常發(fā)人深省，”Rotem說。這些曝光的訂單不僅侵犯了客戶的隱私，而且在言論自由和表達(dá)自由受到限制的某些地區(qū)，這些曝光的數(shù)據(jù)可能會危及客戶。

例如，一些性玩具和其他私密購買的清單可能會帶來法律問題，尤其是在那些LGBTQ+關(guān)系或婚前性行為被禁止的地區(qū)。像阿拉伯聯(lián)合酋長國和巴基斯坦等國家的一些法律非常嚴(yán)格，可能會導(dǎo)致死刑。在巴基斯坦，通奸和婚前性行為是犯罪行為，可判處監(jiān)禁和罰款，該國的宗·教·法·律也允許用石頭砸死或體罰這類的犯罪人員。

Rotem還在同一個IP地址上發(fā)現(xiàn)了一個單獨(dú)的公開的基于web的數(shù)據(jù)庫管理系統(tǒng)，任何人都可以操縱或破壞Gearbest的母公司Globalegrow運(yùn)行的這個數(shù)據(jù)庫。

目前，還不清楚這個服務(wù)器被暴露了多長時間，來自互聯(lián)網(wǎng)掃描網(wǎng)站Binary Edge的數(shù)據(jù)顯示，該數(shù)據(jù)庫于3月7日首次被檢測到。

我們看一下Rotem的具體報(bào)告：↓↓

Gearbest Hack：每天有成千上萬人受到巨大數(shù)據(jù)泄露的影響

在著名的白帽黑客和活動家Noam Rotem的帶領(lǐng)下，VPNMentor的研究團(tuán)隊(duì)發(fā)現(xiàn)了Gearbest的一個重大安全漏洞。

Gearbest是一家非常成功的中國電子商務(wù)公司，每天都有數(shù)十萬的銷售額。該網(wǎng)站銷售一系列電子產(chǎn)品和電器，以及服裝、配件和家居用品。雖然該公司也銷售像OnePlus這樣的一些國際知名品牌，但大多數(shù)都是規(guī)模較小的中國品牌。

Gearbest的業(yè)務(wù)遍及全球250多個國家和地區(qū)，在其中將近30%的國家及地區(qū)內(nèi)，Gearbest都位列其網(wǎng)站TOP 100中。此外，Gearbest擁有18種語言的子域，頗具有全球吸引力。

Gearbest為中國企業(yè)集團(tuán)Globalegrow所有，該母公司經(jīng)營的幾個網(wǎng)站在國際上都獲得了成功，包括Zaful、Rosegal和DressLily。2015年，他們的銷售額達(dá)到5.5億美元，2017年，該公司慶祝其營業(yè)額達(dá)到了14.8億美元。

該公司的巨大成功也是Gearbest及其姊妹公司的一次勝利。然而，對于這些網(wǎng)站的客戶來說，這并不是什么好消息。

vpnMentor可以獨(dú)家證明，Gearbest的數(shù)據(jù)庫是完全不安全的——就像它的姐妹公司的數(shù)據(jù)庫一樣。

一，Gearbest泄露的數(shù)據(jù)

我們的黑客可以訪問Gearbest數(shù)據(jù)庫的不同部分，包括——

1，訂單數(shù)據(jù)庫：數(shù)據(jù)包括購買的產(chǎn)品，送貨地址及郵政編碼，客戶名字，電子郵件地址，電話號碼。

2，付款及發(fā)票數(shù)據(jù)庫：數(shù)據(jù)包括訂單號、付款類型、支付信息、電子郵件地址、名字、IP地址。

3，會員數(shù)據(jù)庫：數(shù)據(jù)包括名字、地址、出生日期、電話號碼、電子郵件地址、IP地址、國民身份證、護(hù)照信息、賬戶密碼。

我們在2019年3月訪問了這些數(shù)據(jù)庫，發(fā)現(xiàn)了150多萬條記錄。

Gearbest的數(shù)據(jù)庫不僅僅是不安全的，它還為潛在的惡意代理提供了不斷更新的新數(shù)據(jù)。

二，安全問題

除了我們能夠訪問的數(shù)百萬用戶的完整個人身份信息，Gearbest的數(shù)據(jù)泄露還引發(fā)了其他幾個非常嚴(yán)重的問題，包括用戶隱私、用戶在線安全、用戶的銀行賬戶安全、私密訂單帶來的法律隱患等。

三，數(shù)據(jù)泄露對Gearbest自身的傷害

我們的黑客發(fā)現(xiàn)的索引不只是針對他們的用戶數(shù)據(jù)庫，還包括訪問Gearbest和Globalegrow的Kafka系統(tǒng)的URL。

Kafka是一個數(shù)據(jù)管理程序，幫助大公司控制通過每個服務(wù)器發(fā)送的站點(diǎn)數(shù)據(jù)量。這樣做有兩個目的：防止服務(wù)器超載并保持效率，允許公司收集大數(shù)據(jù)。

在這種情況下，惡意黑客也可以操縱信息、重新分配數(shù)據(jù)庫屬性，甚至禁用公司服務(wù)器的整個部分。根據(jù)每個服務(wù)器的功能，這可能會破壞數(shù)據(jù)收集、訂單安排、庫存和倉庫管理。

Gearbest或?qū)⒈涣P款？

總部位于深圳的Gearbest在歐洲擁有大量業(yè)務(wù)，在西班牙、波蘭、捷克共和國和英國都設(shè)有倉庫，歐盟數(shù)據(jù)保護(hù)和隱私法在這些國家也適用。任何違反《通用數(shù)據(jù)保護(hù)條例》（GDPR）的公司都將被處以高達(dá)其全球收入4%的罰款。

這是Gearbest多年來遇到的第二個安全問題。2017年12月，有外媒報(bào)道GearBest可能受到黑客攻擊，最后GearBest聲明：他們的IT部門已經(jīng)調(diào)查了這個問題，并且確定了幾百個可能被曝光的賬戶。

“我們的調(diào)查結(jié)論是，用戶信息不太可能是從我們系統(tǒng)中泄露出去的?？赡苁菒阂庥脩魪钠渌W(wǎng)站購買和/或竊取用戶登錄信息，并試圖查看這些數(shù)據(jù)是否可以訪問GearBest。據(jù)我們所知，這些黑客使用一些特殊的軟件，方便上傳大量從其他網(wǎng)站泄露的數(shù)據(jù)，試圖用一組高風(fēng)險(xiǎn)的IP欺騙性地登錄Gearbest?！?/font>