|
|
|
联系客服020-83701501

Gearbest泄露数百万用户信息和订单

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  据国外媒体报道,安全研究员诺姆·罗滕(Noam Rotem)在一次网络扫描中发现了一台未公开的弹性搜索服务器,该服务器可以直接访问,每周会暴露数百万条记录,包括客户数据、订单和支付记录。由于没有密码保护,任何人都可以通过该服务器搜索数据。根据调查,该数据库来自Gearbest,一个中国环球网拥有的专有网站。

Gearbest泄露数百万用户信息和订单

  一、披露何种数据?

  Rotem发布了关于VPNMentor的调查报告。根据该报告,从数据库泄露的数据包括:

  1.订单数据:购买的产品、邮寄地址和邮政编码、用户名、电子邮件地址和电话号码;

  2.付款和收款信息:订单号、付款类型、付款详情、电子邮件地址、姓名和知识产权地址;

  3.用户信息:姓名和地址。生日、电话号码、电子邮件地址、知识产权地址、其他国家的身份证号码、护照信息、账户密码等。

  二.可能的影响

  该报告指出,“Gearbest的数据泄露了150多万条客户记录,增加了2019年因弹性搜索服务器配置不当而遭受安全漏洞的组织数量。吉尔贝斯特事件之所以引人注目,是因为护照号码、国民身份证号码和一整套未加密的数据,包括电子邮件地址和密码,都是公开的信息。这些数据允许黑客通过与其他数据库的交叉引用轻松窃取Gearbest的客户身份,并允许恶意行为者访问在线政府门户网站、银行应用程序、医疗保险记录等。

  Rotem发布了一份关于VPNMentor的调查报告,称它在3月份发现了这个不安全的数据库,披露了大约150万条记录。这些数据没有加密措施,有些甚至根本没有加密。他说,泄露的信息不仅侵犯了客户的隐私,还可能危及世界上言论和表达自由有限的地区的客户。

  此外,Rotem还在同一个IP地址上发现了一个独立的基于网络的数据库管理系统,可以用来操纵或破坏Gearbest的母公司Global Ease运行的数据库。Gearbest总部位于深圳,位列全球250强网站,服务于华硕、华为、英特尔和联想等顶级品牌。该公司在欧洲也有大量业务,在西班牙、波兰、捷克共和国和英国都有仓库,所有这些仓库都受欧盟数据保护和隐私法的管辖。

  目前,Rotem已经联系了Gearbest,但Gearbest既没有关闭数据库以保护数据,也没有做出任何回应。这是近年来吉尔贝斯特发生的第二起安全事故。2017年12月,吉尔贝斯特还披露了因库冲突攻击而导致的账户信息。事件调查清楚后,吉尔贝斯可能会面临来自GDPR的严厉惩罚。

  三、网站部署SSL证书加密数据

  与传统的超文本协议相比,HTTPS协议可以保证传输数据的完整性和保密性,建立从用户端到网站服务器端的加密传输通道,通过复杂的握手协议保证用户的传输信息不会被第三方窃取或篡改。SSL证书通过强大的加密方法帮助保护网络上的数据。SSL证书使网站更加安全。数据经过高度加密,并通过网络发送,以防止私人信息泄露。SSL本质上是一个程序,这使得第三方更难参与用户和网站之间的交易,并实现了高安全性。

  数安时代GDCA还建议,主要网站应部署SSL证书,并实施HTTPS加密升级,以保护用户的个人信息,如帐户和密码。在部署了SSL证书后,醒目的标志将帮助用户区分假冒的网络钓鱼网站,以防止用户遭受不必要的损失。

  在中国,只有三家认证机构通过了国际网络信任标准的认证,有能力提供国际电子认证服务的认证机构。国际网络信任(Webtrust)标准认证是指认证机构的运营、管理和服务水平符合国际标准,有能力和资格提供全球认证服务,这是可靠电子认证服务的有效证明。其中之一就是数安时代GDCA。它是中国综合安全实力较强的认证机构。需要购买SSL证书的企业或站长可以考虑,除了他们自己的品牌GDCA之外,在数安时代还有赛门铁克、全球标志(Globalsign)和地理铁锈(GeoTrust)等品牌。他们可以选择更多的一次性比较,并提供行业内最优惠的价格。如有必要,你可以到官方网站咨询客户服务部了解产品。

数安新闻+更多

证书相关+更多