据外媒报道,安全研究员Noam Rotem在进行网络扫描时,发现一个没有密码保护的Elasticsearch服务器,可直接访问,每周都会暴露数百万条记录,包括客户数据、订单和付款记录。由于没有密码保护,任何人都可通过这个服务器搜索数据。调查显示,这个数据库来自Gearbest,是中国环球易购(Globalegrow)旗下的自营网站。
公开了什么样的数据?
Rotem在VPNMentor上发布了其调查报告。报告称,该数据库泄露的数据包括:
1、订单数据:购买的产品、邮寄地址与邮编、用户姓名、电子邮件地址、电话号码;
2、支付与收据信息:订单号、支付类型、支付详情、电子邮件地址、名称、IP地址;
3、用户信息:姓名、地址。生日、电话号码、电子邮件地址、IP地址、其他国家身份证号码及护照信息、账户密码等。
可能的影响
报告指出“Gearbest的数据泄漏超过150万条客户记录,增加了越来越多的组织,这些组织由于错误配置的Elasticsearch服务器而在2019年遭遇安全漏洞。Gearbest的事件脱颖而出,因为护照号码,国民身份证号码和全套未加密数据,包括电子邮件地址和密码都是暴露的信息。这些数据可以让黑客通过与其他数据库的交叉引用轻松窃取Gearbest的客户身份,并允许恶意行为者访问在线政府门户网站,银行应用程序,健康保险记录等。
Rotem在VPNMentor上发布了调查报告,称其在3月份发现这个不安全的数据库,泄露的记录约有150万条。这些数据并没有什么加密措施,有些甚至完全没有加密。他表示,这些泄露的信息不仅侵犯了客户隐私,还可能危及世界上言论和表达自由受限地区的客户。
此外ÿ