天创培训:您身边的信息安全培训专家!
行业动态
中国跨境电商兰亭集势数据库存漏洞 泄漏超1TB客户数据

一家拥有庞大北美用户群的中国在线零售商泄漏了超过1TB的客户数据。

漏洞


Vpnmentor的研究人员于11月20日发现了LightInTheBox的重大安全性漏洞。

从2019年8月9日到2019年10月11日,研究人员能够访问包含1.3 TB每日日志的海量数据库,总计超过15亿条记录。

大量的数据泄漏危及了全球LightInTheBox客户的安全,研究人员还能够从供应商的子公司站点(包括MiniInTheBox.com)访问数据。

研究人员称:"我们的团队能够访问此数据库,因为它是完全不安全的,并且未加密。”

Vpnmentor于11月24日通知供应商该违规行为,尽管未收到任何答复,但在LightInTheBox意识到其存在之后不久,该违规数据库便被关闭。

LightInTheBox成立于2007年,销售服装、配件、小工具以及各种用于家庭和花园的产品。该零售商网站每月的1200万访问者中,大多数来自北美和欧洲。

该公司未提供有关其数据安全性和存储实践的具体细节,也未公开其为保护客户数据可能采取的任何措施。

Vpnmentor研究人员称:"数据泄露影响了世界各地的客户,他们的许多国际站点中的条目都以多种语言显示。”

此次泄漏的个人数据包括用户的IP地址,居住国家/地区,电子邮件地址以及目标页面和用户在供应商网站上的在线活动。

研究人员说:“此次数据泄露表明,LightInTheBox在数据安全上有重大失误,尽管此数据泄漏并没有暴露关键的用户数据,但他们并未采取一些基本的安全措施。”

研究人员警告说,这种泄密行为可能使客户面临的犯罪风险要远大于在线欺诈。

“通过网站用户的IP地址,我们能够识别他们的居住城市。如果犯罪黑客能够访问此地址以及所暴露的其他数据,那他们可能会诱骗受害者泄露其住所地址,并将其作为盗窃和家庭抢劫的目标。”研究人员说道。