中國電商網站Gearbest洩露150多萬筆消費者個資、訂單資料

研究人員發現，中國主要電商網站Gearbest伺服器未做好安全防護，超過150萬名消費者個資、訂單內容及信用卡資料曝光。

知名白帽駭客Noam Rotem領導的安全公司VPNmentor研究團隊，在近日執行的一個善良駭客專案（ethical hacking project）中，發現中國主要電商站Gearbest使用的ElasticSearch伺服器，洩露來自訂單、支付與會員等關鍵資料庫的150多萬筆資料。研究人員發現外洩的資料涵括消費者姓名、email、電話、出貨地點、購買商品品項，消費者支付型態、信用卡號、IP位址、訂單編號、以及消費者出生日期、住家地址、身分證、護照號碼及帳號密碼等。

Gearbest為中國環球易購集團下的電商網站之一，銷售範圍超過250國。2017年銷售金額達14.8億美元，也名列全球前250大網站。

研究人員發現，Gearbest資料庫不僅不安全，可能還有內鬼或惡意程式會定期上傳最新的資料。

雖然Gearbest宣稱蒐集這些資料是為了提供更好的服務，而且針對敏感資訊提供加密，但事實上，有些資料根本被不必要蒐集，例如送貨並不需IP位址。此外，研究人員也發現大量資料未加密儲存，包括電子郵件和密碼，他們相信這是管理人員處事輕忽所致。

利用外洩的客戶，研究人員不但把訂單內容看得一清二楚，甚至可資訊累積點數，以及變更密碼。研究團隊表示，這些資料已足夠讓無良駭客竄改用戶身份、存取政府網站、銀行帳號或醫療保險紀錄等，而LGBT性向資訊的曝光，可能讓這些消費者在某些國家遭到判刑、罰金，甚至處死。

除了客戶資料外，研究人員還發現連結Gearbest資料管理系統Kafka的URL也外洩。Kafka的程式讓企業控管透過伺服器傳送的網站資料量，作用是防止伺服器過載、確保網站效率，以及支援蒐集大量資料。如果這台系統遭惡意駭客存取，變更資料庫參數或關閉伺服器某些部份，即可能造成用戶無法下單、資料無法傳送等重大災情。

由於此次資料外洩實在太誇張，駭客數度連繫Gearbest要求強化防護，甚至在報告公開前幾天還通知他們，但皆未獲得Gearbest回應。於是研究團隊決定公開研究發現。

這是二年內Gearbest第二次發生資料外洩。2017 年底該公司也傳出遭撞庫攻擊，導致數百用戶電子郵件和帳號外洩。Techcrunch報導，Gearbest在歐洲有相當市佔，此次資料外洩可能引發GDPR相關的法律責任。