Gearbest 泄露數百萬消費記錄，部分訂單還包含護照號碼

TechCrunch 報道稱，總部位於深圳的 A 股上市公司跨境通旗下自營跨境電商平台 Gearbest 泄露了數百萬用戶的個人信息和購物訂單。

Gearbest 是以電子類業務為主的綜合電商平台，它為華碩、華為、英特爾和聯想等品牌提供服務。Gearbest.com 在全球購物類網站中流量排名在 40 名左右，在全球所有網站中位於前 250 名，月訪問流量有 1.22 億。

安全研究員 Noam Rotem 發現，一個 Elasticsearch 伺服器每周都會泄露數百萬條記錄，包括客戶信息、訂單內容和付款記錄等。該伺服器未受密碼保護，允許任何人搜索數據。

根據 Noam Rotem 目前公布的信息，泄露的數據中包含用戶姓名、地址、電話號碼、電子郵箱和訂單及產品信息。該資料庫還包含支付和發票信息，附帶有支付金額以及半隱藏的姓名和電子郵件地址。

其中一些會員訂單還包含護照號等身份信息。Rotem 稱，這些數據可能會危及世界上部分自由受限地區的消費者。例如，一些來自禁止 LGBTQ 和婚前性行為國家的客戶購買了性玩具等用品，這可能會給他們招致麻煩。

在阿拉伯聯合大公國和巴基斯坦等出台了相關嚴格法律的國家中，他們可能會被判死刑。

Rotem 表示，該資料庫並沒有多少加密措施，有的甚至完全沒有加密。他還在相同的 IP 地址上發現了另外一個網路資料庫管理系統，讓所有人都可以操縱和破壞 Gearbest 母公司跨境通的資料庫。

目前尚不清楚這些資料庫曝光了多長時間。互聯網掃描網站 Binary Edge 數據顯示，這些資料庫是在 3 月 7 日首次被探測到的。

TechCrunch 稱，他們已經通過該公司的專用安全頁面與之取得聯繫。但 Gearbest 尚未作出回應，也沒有對數據加以保護。

Gearbest 從成立之初就專註於小語種新興市場，在西班牙、波蘭、捷克等國家都設有倉庫。它有可能會在當地受到歐洲隱私數據保護法的制裁。歐盟地區有著目前世界上最嚴格的隱私保護政策，任何違反《通用數據保護條例》（GDPR）的企業都有可能面臨最多相當於其全球年度營收 4% 的罰款。

跨境通 2018 年財報顯示，該公司去年實現營業總收入為 216.26 億元，比去年同期上升 54.28%。其中，營業利潤為 12.43 億元，利潤總額為 13 億元。基本每股收益為 0.67 元，上年同期為 0.52 元。

2018 年，跨境通在「黑五」期間跨境出口 GMV 超過 14 億元，同比增長 45%，其中 GearBest 同比增長了 55%。

該公司在互動易平台公布的信息顯示，「黑五」期間該公司自營網站銷售額排名前十的國家分別是：美國、德國、西班牙、法國、義大利、英國、以色列、波蘭、葡萄牙、加拿大。

截至發稿，跨境通股價為 12.08 元人民幣，下跌了 0.25%。

題圖/visualhunt

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！