> 首页 > 关于优炫 > 公司动态 > 业界新闻 >

业界新闻

Industry News

跨境电商网站Gearbest泄露数百万用户信息和订单

2019-05-14
据外媒报道,安全研究员Noam Rotem在进行网络扫描时,发现一个没有密码保护的Elasticsearch服务器,可直接访问,每周都会暴露数百万条记录,包括客户数据、订单和付款记录。由于没有密码保护,任何人都可通过这个服务器搜索数据。调查显示,这个数据库来自Gearbest,Globalegrow旗下的自营网站。
 
Rotem在VPNMentor上发布了其调查报告。报告称,该数据库泄露的数据包括:
 
订单数据:购买的产品、邮寄地址与邮编、用户姓名、电子邮件地址、电话号码;
 
支付与收据信息:订单号、支付类型、支付详情、电子邮件地址、名称、IP地址;
 
用户信息:姓名、地址。生日、电话号码、电子邮件地址、IP地址、其他国家身份证号码及护照信息、账户密码等
 
Rotem在VPNMentor上发布了调查报告,称其早在3月份就发现这个不安全的数据库了,泄露的记录约有150万条。这些数据并没有什么加密措施,有些甚至完全没有加密。他表示,这些泄露的信息不仅侵犯了客户隐私,还可能危及世界上言论和表达自由受限地区的客户。例如,一些性

玩具和其他私密购买的产品,可能会在那些禁止LGBTQ +关系或婚前性行为的国家里引起法律问题。受影响的用户在阿拉伯联合酋长国和巴基斯坦这样出台了相关严格法律的国家中,甚至可能会被判死刑。
 
此外,Rotem还在同一IP地址上发现了一个单独的基于Web的数据库管理系统,利用这个系统,可以操纵或破坏Gearbest母公司环球易购所运行的数据库。Gearbest在欧洲也拥有大量业务,在西班牙、波兰、捷克共和国和英国设有仓库,而这些国家都适用欧盟数据保护和隐私法。
 
目前,Rotem已经联系了Gearbest ,但是Gearbest既没有关闭数据库保护数据也没有任何回应。这已经是Gearbest近年来发生的第二起安全事故了。此前,Gearbest也曾因为撞库攻击而导致帐号信息泄露。待事件调查清楚后,Gearbest也许将面临GDPR的严重处罚。
 
内容来源:freebuf、techcrunch
https://www.freebuf.com/news/198331.html
https://techcrunch.com/2019/03/14/gearbest-orders-exposed/
 
不仅仅上文提及的购物网站,数据安全对于各行各业来说都是不可忽视的一环,尤其是涉及重大安全的政府机构和军工行业更是如此。为保障数据安全,作为底层基础的“数据库”更要自主可控。优炫数据库(简称UXDB)为优炫软件自主研发,安全可控,是一款支持云平台的Newsql数据库。UXDB可以实现对Oracle的无缝数据迁移,在去IOE的指导方针下,将有越来越多的应用从Oracle到国产数据库的迁移。

UXDB可应用于通信、地理、气象、风控、公共安全、科学计算、灾备等业务场景。目前已通过多项国家认证及行业测试,在国家统计局,国家知识产权局,国家行政学院等部委机构取得成功案例。