震惊！中国跨境巨头数据泄露被外媒曝光

跨境平台Gearbest数据被泄露

TechCrunch报道说，安全研究人员发现，中国在线购物巨头Gearbest泄露了数百万用户的个人资料和购物订单。

安全研究员Noam Rotem发现，一个名为Elasticsearch的服务器每周泄露数百万条记录，包括客户数据、订单和支付记录。这个服务器没有密码保护，任何人都可以在上面搜索数据。

Gearbest是中国知名跨境电商公司旗下的B2C电商平台，也是全球排名前250的网站之一，服务于包括华硕、华为、英特尔和联想在内的顶级品牌。

TechCrunch表示，他们通过专用安全页面联系了Gearbest，以保护该数据库，但是该公司既没有保护这些数据，也没有回应他们的置评请求。

Rotem与TechCrunch分享了他的发现，并在VPNMentor上发表了他的报告。他说，暴露的数据包括姓名、地址、电话号码、电子邮件地址、客户订单以及购买的产品。该数据库还包含付款和发票信息，以及已消费金额、半掩码姓名和电子邮件地址。

在审查了部分数据后，TechCrunch发现，该数据库准确地显示了客户购买了什么、以及这些商品是何时何地发货的。

一些特定于会员的记录还包括护照号码和其他国家ID数据。Rotem说，几乎没有证据表明这些数据加密了，在某些情况下根本没有。

“事实证明，有些人的订单内容非常发人深省，”Rotem说。这些曝光的订单不仅侵犯了客户的隐私，而且在言论自由和表达自由受到限制的某些地区，这些曝光的数据可能会危及客户。

例如，一些性玩具和其他私密购买的清单可能会带来法律问题，尤其是在那些LGBTQ+关系或婚前性行为被禁止的地区。像阿拉伯联合酋长国和巴基斯坦等国家的一些法律非常严格，可能会导致死刑。在巴基斯坦，通奸和婚前性行为是犯罪行为，可判处监禁和罚款，该国的宗·教·法·律也允许用石头砸死或体罚这类的犯罪人员。

Rotem还在同一个IP地址上发现了一个单独的公开的基于web的数据库管理系统，任何人都可以操纵或破坏Gearbest的母公司Globalegrow运行的这个数据库。

目前，还不清楚这个服务器被暴露了多长时间，来自互联网扫描网站Binary Edge的数据显示，该数据库于3月7日首次被检测到。

我们看一下Rotem的具体报告：↓↓

Gearbest Hack：每天有成千上万人受到巨大数据泄露的影响

在著名的白帽黑客和活动家Noam Rotem的带领下，VPNMentor的研究团队发现了Gearbest的一个重大安全漏洞。

Gearbest是一家非常成功的中国电子商务公司，每天都有数十万的销售额。该网站销售一系列电子产品和电器，以及服装、配件和家居用品。虽然该公司也销售像OnePlus这样的一些国际知名品牌，但大多数都是规模较小的中国品牌。

Gearbest的业务遍及全球250多个国家和地区，在其中将近30%的国家及地区内，Gearbest都位列其网站TOP 100中。此外，Gearbest拥有18种语言的子域，颇具有全球吸引力。

Gearbest为中国企业集团Globalegrow所有，该母公司经营的几个网站在国际上都获得了成功，包括Zaful、Rosegal和DressLily。2015年，他们的销售额达到5.5亿美元，2017年，该公司庆祝其营业额达到了14.8亿美元。

该公司的巨大成功也是Gearbest及其姊妹公司的一次胜利。然而，对于这些网站的客户来说，这并不是什么好消息。

vpnMentor可以独家证明，Gearbest的数据库是完全不安全的——就像它的姐妹公司的数据库一样。

一，Gearbest泄露的数据

我们的黑客可以访问Gearbest数据库的不同部分，包括——

1，订单数据库：数据包括购买的产品，送货地址及邮政编码，客户名字，电子邮件地址，电话号码。

2，付款及发票数据库：数据包括订单号、付款类型、支付信息、电子邮件地址、名字、IP地址。

3，会员数据库：数据包括名字、地址、出生日期、电话号码、电子邮件地址、IP地址、国民身份证、护照信息、账户密码。

我们在2019年3月访问了这些数据库，发现了150多万条记录。

Gearbest的数据库不仅仅是不安全的，它还为潜在的恶意代理提供了不断更新的新数据。

二，安全问题

除了我们能够访问的数百万用户的完整个人身份信息，Gearbest的数据泄露还引发了其他几个非常严重的问题，包括用户隐私、用户在线安全、用户的银行账户安全、私密订单带来的法律隐患等。

三，数据泄露对Gearbest自身的伤害

我们的黑客发现的索引不只是针对他们的用户数据库，还包括访问Gearbest和Globalegrow的Kafka系统的URL。

Kafka是一个数据管理程序，帮助大公司控制通过每个服务器发送的站点数据量。这样做有两个目的：防止服务器超载并保持效率，允许公司收集大数据。

在这种情况下，恶意黑客也可以操纵信息、重新分配数据库属性，甚至禁用公司服务器的整个部分。根据每个服务器的功能，这可能会破坏数据收集、订单安排、库存和仓库管理。

Gearbest或将被罚款？

总部位于深圳的Gearbest在欧洲拥有大量业务，在西班牙、波兰、捷克共和国和英国都设有仓库，欧盟数据保护和隐私法在这些国家也适用。任何违反《通用数据保护条例》（GDPR）的公司都将被处以高达其全球收入4%的罚款。

这是Gearbest多年来遇到的第二个安全问题。2017年12月，有外媒报道GearBest可能受到黑客攻击，最后GearBest声明：他们的IT部门已经调查了这个问题，并且确定了几百个可能被曝光的账户。

“我们的调查结论是，用户信息不太可能是从我们系统中泄露出去的。可能是恶意用户从其他网站购买和/或窃取用户登录信息，并试图查看这些数据是否可以访问GearBest。据我们所知，这些黑客使用一些特殊的软件，方便上传大量从其他网站泄露的数据，试图用一组高风险的IP欺骗性地登录Gearbest。”