天创培训:您身边的信息安全培训专家!
开班计划
CISP-PTE渗透测试工程师开班
主讲老师   张老师、高老师等
开课时间   2019年3月22日-30日
培训方式   实地/面授
授课天次   9天
上课时间   09:00 -- 17:00
课程介绍 在线报名
2019年4月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2019年4月16日-21日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

电商Gearbest被曝泄露信息:含数百万用户和订单数据

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2019-03-15  关键词:泄露信息

  美国科技科技媒体TechCrunch报道,一名安全研究人员发现,中国环球易购(Globalegrow)旗下自营网站Gearbest泄露了数百万用户资料和购物订单。


  研究人员诺姆·罗特姆(Roam Rotem)发现,一个Elasticsearch服务器每周都会泄露数百万条记录,包括客户数据、订单和支付记录。该服务器并没有用密码保护,所有人都可以搜索到这些数据。


  Gearbest网站排名全球前250位,为华硕、华为、英特尔和联想等品牌提供服务。


  已经通过该公司的专用安全页面与之取得联系。但Gearbest尚未作出回应,也没有对数据加以保护。


  罗特姆已公开了他的发现,他表示,泄露的数据中包含用户姓名、地址、电话号码、电子邮箱和订单及产品信息。该数据库还包含支付和发票信息,附带有支付金额以及半隐藏的姓名和电子邮件地址。


  在对部分数据进行评估后,TechCrunch发现该数据库可以查到用户购买商品的时间和邮寄地址。


  其中一些会员订单还包含护照号等身份信息。罗特姆表示,该数据库并没有多少加密措施,有的甚至完全没有加密。


  鲁特曼还在相同的IP地址上发现了另外一个网络数据库管理系统,让所有人都可以操纵和破坏Gearbest母公司环球易购的数据库。


  目前还不清楚这些数据库曝光了多长时间。互联网扫描网站Binary Edge的数据显示,这些数据库是在3月7日首次被探测到的。


  总部位于深圳的Gearbest在欧洲触角很广,在西班牙、波兰、捷克共和国和英国都设有仓库,那里都要遵守欧洲的隐私保护法。任何违反《通用数据保护条例》(GDPR)的企业都有可能面临最多相当于全球年营收4%的罚款。


  这是Gearbest近年来遭遇的第二起安全事故。该公司2017年12月曾经证实其帐号信息泄露。




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000