Gearbest網(wǎng)站被指泄露用戶信息

據(jù)外媒消息，安全研究人員發(fā)現(xiàn)，中國跨境大賣旗下的自營網(wǎng)站Gearbest存在用戶信息泄露問題，涉及數(shù)百萬用戶的檔案及購物訂單。

安全研究員Noam Rotem發(fā)現(xiàn)，一個(gè)名為Elasticsearch的服務(wù)器每周會(huì)泄露數(shù)百萬條記錄，其中包含客戶數(shù)據(jù)、訂單以及付款記錄等。此服務(wù)器未設(shè)置密碼保護(hù)，任何人都可對(duì)數(shù)據(jù)進(jìn)行搜索。

需要注意的是，Gearbest是全球250強(qiáng)網(wǎng)站之一，曾為華碩、華為、英特爾和聯(lián)想等眾多頂級(jí)品牌提供服務(wù)。

TechCrunch通過其專用安全頁面（用于保護(hù)數(shù)據(jù)庫）與Gearbest取得聯(lián)系，然而該公司既未對(duì)數(shù)據(jù)進(jìn)行保護(hù)，也未回應(yīng)TechCrunch的評(píng)論請(qǐng)求。

Rotem將自己的調(diào)查結(jié)果與TechCrunch進(jìn)行了分享，并在VPNMentor上發(fā)布了相關(guān)報(bào)告。據(jù)悉，泄露的數(shù)據(jù)包括用戶的姓名、地址、電話號(hào)碼、電子郵件地址、客戶訂單以及所購買的產(chǎn)品等。該數(shù)據(jù)庫中還包含付款和發(fā)票信息，如支出金額、部分屏蔽的姓名以及電子郵件地址。

TechCrunch在查看部分?jǐn)?shù)據(jù)后發(fā)現(xiàn)，數(shù)據(jù)庫中確切地顯示了客戶購買的內(nèi)容、物品發(fā)貨的時(shí)間和地點(diǎn)。

值得一提的是，一些會(huì)員專用記錄中甚至還包括護(hù)照號(hào)碼和其他國家的身份證號(hào)碼。Rotem表示，該網(wǎng)站幾乎沒有加密證據(jù)，在某些情況下甚至完全沒有加密措施。

“部分遭泄露的訂單內(nèi)容令人震驚。”羅特姆稱，這些暴露的訂單不僅侵犯了客戶的隱私，而且暴露的數(shù)據(jù)還可能給世界上一些言論和表達(dá)自由受限地區(qū)的客戶帶來危險(xiǎn)。比如，在一些禁止LGBTQ +關(guān)系或婚前性行為的國家，像性玩具和其他私密購買的產(chǎn)品，可能會(huì)引發(fā)法律問題。在阿拉伯聯(lián)合酋長國和巴基斯坦等出臺(tái)了相關(guān)嚴(yán)格法律的國家，此類情況甚至可能會(huì)被判處死刑。

Rotem還在同一IP地址上發(fā)現(xiàn)了一個(gè)單獨(dú)的基于Web的數(shù)據(jù)庫管理系統(tǒng)，任何人都可借此操縱或破壞Gearbest母公司Globalegrow運(yùn)行的數(shù)據(jù)庫。

目前，服務(wù)器的曝光時(shí)間尚不明確。互聯(lián)網(wǎng)掃描站點(diǎn)Binary Edge的數(shù)據(jù)顯示，該數(shù)據(jù)庫于2025年3月7日首次被檢測到。

總部位于深圳的Gearbest在歐洲有大量業(yè)務(wù)，在西班牙、波蘭、捷克共和國和英國設(shè)有倉庫，而這些國家都需遵循歐盟數(shù)據(jù)保護(hù)和隱私法。任何違反通用數(shù)據(jù)保護(hù)法規(guī)（GDPR）的公司，都可能被罰款高達(dá)其全球收入的4％。

這并非Gearbest首次出現(xiàn)安全問題，2025年之前，在2017年12月，該公司曾證實(shí)，其賬戶在所謂的“憑證填充物攻擊”后被攻破。

針對(duì)此次事件，本平臺(tái)（風(fēng)口星網(wǎng)）也與Gearbest網(wǎng)站相關(guān)負(fù)責(zé)人進(jìn)行了確認(rèn)，對(duì)方表示并未造成泄露。然而，從多方面的調(diào)查情況來看，Gearbest網(wǎng)站用戶信息泄露的問題似乎并非空穴來風(fēng)。據(jù)最新新聞報(bào)道，近期全球范圍內(nèi)的網(wǎng)絡(luò)安全問題愈發(fā)嚴(yán)峻，不少知名企業(yè)都遭遇了類似的信息泄露危機(jī)，這也給廣大用戶和企業(yè)敲響了警鐘，網(wǎng)絡(luò)安全不容忽視。