研究人員發現,中國主要電商網站Gearbest伺服器未做好安全防護,超過150萬名消費者個資、訂單內容及信用卡資料曝光。

知名白帽駭客Noam Rotem領導的安全公司VPNmentor研究團隊,在近日執行的一個善良駭客專案(ethical hacking project)中,發現中國主要電商站Gearbest使用的ElasticSearch伺服器,洩露來自訂單、支付與會員等關鍵資料庫的150多萬筆資料。研究人員發現外洩的資料涵括消費者姓名、email、電話、出貨地點、購買商品品項,消費者支付型態、信用卡號、IP位址、訂單編號、以及消費者出生日期、住家地址、身分證、護照號碼及帳號密碼等。

Gearbest為中國環球易購集團下的電商網站之一,銷售範圍超過250國。2017年銷售金額達14.8億美元,也名列全球前250大網站。

研究人員發現,Gearbest資料庫不僅不安全,可能還有內鬼或惡意程式會定期上傳最新的資料。

雖然Gearbest宣稱蒐集這些資料是為了提供更好的服務,而且針對敏感資訊提供加密,但事實上,有些資料根本被不必要蒐集,例如送貨並不需IP位址。此外,研究人員也發現大量資料未加密儲存,包括電子郵件和密碼,他們相信這是管理人員處事輕忽所致。

利用外洩的客戶,研究人員不但把訂單內容看得一清二楚,甚至可資訊累積點數,以及變更密碼。研究團隊表示,這些資料已足夠讓無良駭客竄改用戶身份、存取政府網站、銀行帳號或醫療保險紀錄等,而LGBT性向資訊的曝光,可能讓這些消費者在某些國家遭到判刑、罰金,甚至處死。

除了客戶資料外,研究人員還發現連結Gearbest資料管理系統Kafka的URL也外洩。Kafka的程式讓企業控管透過伺服器傳送的網站資料量,作用是防止伺服器過載、確保網站效率,以及支援蒐集大量資料。如果這台系統遭惡意駭客存取,變更資料庫參數或關閉伺服器某些部份,即可能造成用戶無法下單、資料無法傳送等重大災情。

由於此次資料外洩實在太誇張,駭客數度連繫Gearbest要求強化防護,甚至在報告公開前幾天還通知他們,但皆未獲得Gearbest回應。於是研究團隊決定公開研究發現。

這是二年內Gearbest第二次發生資料外洩。2017 年底該公司也傳出遭撞庫攻擊,導致數百用戶電子郵件和帳號外洩。Techcrunch報導,Gearbest在歐洲有相當市佔,此次資料外洩可能引發GDPR相關的法律責任。


Advertisement

更多 iThome相關內容