• 搜索
官方微信群 扫码添加,拉你进群
订阅号
服务号
跨境资讯

为你推送和解读最前沿、最有料的跨境电商资讯

90% 亚马逊卖家都在关注的微信公众号

精选今日跨境电商头条资讯

这类产品致使上百卖家账号被冻结,并且涉及多个平台

网商动力
网商动力(https://www.eckey.cn)跨境电商,致力于提供一手资讯、干货知识。
2019-03-15 12:08:54
38

以前,经常看到外媒报道外国科技巨头公司数据泄露。今天,有外媒报道说中国跨境电商巨头Gearbest的数百万客户交易记录被泄露了。



跨境平台Gearbest数据被泄露



TechCrunch报道说,安全研究人员发现,中国在线购物巨头Gearbest泄露了数百万用户的个人资料和购物订单。

安全研究员Noam Rotem发现,一个名为Elasticsearch的服务器每周泄露数百万条记录,包括客户数据、订单和支付记录。这个服务器没有密码保护,任何人都可以在上面搜索数据。

Gearbest是中国知名跨境电商公司旗下的B2C电商平台,也是全球排名前250的网站之一,服务于包括华硕、华为、英特尔和联想在内的顶级品牌。

TechCrunch表示,他们通过专用安全页面联系了Gearbest,以保护该数据库,但是该公司既没有保护这些数据,也没有回应他们的置评请求。

Rotem与TechCrunch分享了他的发现,并在VPNMentor上发表了他的报告。他说,暴露的数据包括姓名、地址、电话号码、电子邮件地址、客户订单以及购买的产品。该数据库还包含付款和发票信息,以及已消费金额、半掩码姓名和电子邮件地址。

在审查了部分数据后,TechCrunch发现,该数据库准确地显示了客户购买了什么、以及这些商品是何时何地发货的。

一些特定于会员的记录还包括护照号码和其他国家ID数据。Rotem说,几乎没有证据表明这些数据加密了,在某些情况下根本没有。

“事实证明,有些人的订单内容非常发人深省,”Rotem说。这些曝光的订单不仅侵犯了客户的隐私,而且在言论自由和表达自由受到限制的某些地区,这些曝光的数据可能会危及客户。

例如,一些性玩具和其他私密购买的清单可能会带来法律问题,尤其是在那些LGBTQ+关系或婚前性行为被禁止的地区。像阿拉伯联合酋长国和巴基斯坦等国家的一些法律非常严格,可能会导致死刑。在巴基斯坦,通奸和婚前性行为是犯罪行为,可判处监禁和罚款,该国的宗·教·法·律也允许用石头砸死或体罚这类的犯罪人员。

Rotem还在同一个IP地址上发现了一个单独的公开的基于web的数据库管理系统,任何人都可以操纵或破坏Gearbest的母公司Globalegrow运行的这个数据库。

目前,还不清楚这个服务器被暴露了多长时间,来自互联网扫描网站Binary Edge的数据显示,该数据库于37日首次被检测到。

我们看一下Rotem的具体报告:↓↓


Gearbest Hack:巨大数据泄露每天影响成千上万人



在著名的白帽黑客和活动家Noam Rotem的带领下,VPNMentor的研究团队发现了Gearbest的一个重大安全漏洞。

Gearbest是一家非常成功的中国电子商务公司,每天都有数十万的销售额。该网站销售一系列电子产品和电器,以及服装、配件和家居用品。虽然该公司也销售像OnePlus这样的一些国际知名品牌,但大多数都是规模较小的中国品牌。

Gearbest的业务遍及全球250多个国家和地区,在其中将近30%的国家及地区内,Gearbest都位列其网站TOP 100中。此外,Gearbest拥有18种语言的子域,颇具有全球吸引力。

Gearbest为中国企业集团Globalegrow所有,该母公司经营的几个网站在国际上都获得了成功,包括ZafulRosegalDressLily2015年,他们的销售额达到5.5亿美元,2017年,该公司庆祝其营业额达到了14.8亿美元。

该公司的巨大成功也是Gearbest及其姊妹公司的一次胜利。然而,对于这些网站的客户来说,这并不是什么好消息。

vpnMentor可以独家证明,Gearbest的数据库是完全不安全的——就像它的姐妹公司的数据库一样。

一,Gearbest泄露的数据

我们的黑客可以访问Gearbest数据库的不同部分,包括——

1,订单数据库:数据包括购买的产品,送货地址及邮政编码,客户名字,电子邮件地址,电话号码。

2,付款及发票数据库:数据包括订单号、付款类型、支付信息、电子邮件地址、名字、IP地址。

3,会员数据库:数据包括名字、地址、出生日期、电话号码、电子邮件地址、IP地址、国民身份证、护照信息、账户密码。

我们在2019年3月访问了这些数据库,发现了150多万条记录。

Gearbest的数据库不仅仅是不安全的,它还为潜在的恶意代理提供了不断更新的新数据。

二,安全问题

除了我们能够访问的数百万用户的完整个人身份信息,Gearbest的数据泄露还引发了其他几个非常严重的问题,包括用户隐私、用户在线安全、用户的银行账户安全、私密订单带来的法律隐患等。

三,数据泄露对Gearbest自身的伤害

我们的黑客发现的索引不只是针对他们的用户数据库,还包括访问Gearbest和GlobalegrowKafka系统的URL

Kafka是一个数据管理程序,帮助大公司控制通过每个服务器发送的站点数据量。这样做有两个目的:防止服务器超载并保持效率,允许公司收集大数据。

在这种情况下,恶意黑客也可以操纵信息、重新分配数据库属性,甚至禁用公司服务器的整个部分。根据每个服务器的功能,这可能会破坏数据收集、订单安排、库存和仓库管理。


Gearbest或将被罚款?



总部位于深圳的Gearbest在欧洲拥有大量业务,在西班牙、波兰、捷克共和国和英国都设有仓库,欧盟数据保护和隐私法在这些国家也适用。任何违反《通用数据保护条例》(GDPR)的公司都将被处以高达其全球收入4%的罚款

这是Gearbest多年来遇到的第二个安全问题。201712月,有外媒报道GearBest可能受到黑客攻击,最后GearBest声明:他们的IT部门已经调查了这个问题,并且确定了几百个可能被曝光的账户。

“我们的调查结论是,用户信息不太可能是从我们系统中泄露出去的。可能是恶意用户从其他网站购买和/或窃取用户登录信息,并试图查看这些数据是否可以访问GearBest。据我们所知,这些黑客使用一些特殊的软件,方便上传大量从其他网站泄露的数据,试图用一组高风险的IP欺骗性地登录Gearbest。”

(编辑:安吉)


二维码
我们建了一个亚马逊卖家交流群,里面不乏很多大卖家。
现在扫码回复“ 加群 ”,拉你进群。
目前30万+人已关注加入我们
声明:此文章来源于网络,不代表网商动力立场。如有侵权,请联系我们。
快给朋友分享吧!
0 赞
最新
跨境电商erp是什么意思啊?跨境电商erp的作用
跨境电商erp是什么意思啊?跨境电商erp的作用
揭秘跨境电商ERP系统:定义与作用全面解读 跨境电商ERP系统,即企业资源计划系统(Enterprise Resource Planning),是一种集成的管理信息系统,它建立在信息技术基础上,以系...
深入探究Jumia跨境电商:业务开展难易度与市场发展趋势
深入探究Jumia跨境电商:业务开展难易度与市场发展趋势
深入探究Jumia跨境电商:业务开展难易度与市场发展趋势 在全球化的电商浪潮中,Jumia作为非洲领先的跨境电商平台,吸引了众多商家和消费者的关注。本文将深入探讨Jumi...
2024跨境电商新秀Temu分析:优势明显但劣势也不容忽视
2024跨境电商新秀Temu分析:优势明显但劣势也不容忽视
跨境电商全解析:深度挖掘Temu平台的优势与挑战 随着互联网技术的飞速发展,跨境电商成为了全球贸易的新宠。Temu平台作为新兴的跨境电商平台,正吸引着越来越多商家的...
2024年跨境电商新趋势:Temu平台崛起,掘金新机遇
2024年跨境电商新趋势:Temu平台崛起,掘金新机遇
Temu:拼多多的海外扩张之路 随着全球化的不断深入,电子商务已经成为了现代经济的重要组成部分。在中东、非洲、南美洲以及中南亚印度等地区,电商平台也逐渐崛起。今...
Daraz平台全解析:深入解读跨境电商平台的运作与优势
Daraz平台全解析:深入解读跨境电商平台的运作与优势
全球电商版图扩张:中东非洲南美洲及中南亚印度地区电商平台巡礼 1.随着全球化的不断深入,电子商务已经成为了现代经济的重要组成部分。在中东、非洲、南美洲以及中...
Kilimall跨境电商卖家登录指南:官方入口网址与详细流程
Kilimall跨境电商卖家登录指南:官方入口网址与详细流程
Kilimall跨境电商卖家登录指南:官方入口与详细流程 在当今数字化时代,跨境电商已成为连接全球买家与卖家的重要桥梁。作为领先的跨境电商平台之一,Kilimall为众多商...
Copyright ? 2016-2022 ? ? 亚马逊卖家导航? ? 晋ICP备20005961号-2 声明:网站上的服务均为第三方提供,与网商动力无关。请用户注意甄别服务质量,避免上当受骗。