环球易购旗下跨境电商网站Gearbest泄露数百万用户信息和订单

据外媒报道，安全研究员Noam Rotem在进行网络扫描时，发现一个没有密码保护的Elasticsearch服务器，可直接访问，每周都会暴露数百万条记录，包括客户数据、订单和付款记录。由于没有密码保护，任何人都可通过这个服务器搜索数据。调查显示，这个数据库来自Gearbest，是中国环球易购（Globalegrow）旗下的自营网站。

  Rotem在VPNMentor上发布了其调查报告。报告称，该数据库泄露的数据包括：

  订单数据：购买的产品、邮寄地址与邮编、用户姓名、电子邮件地址、电话号码；

  支付与收据信息：订单号、支付类型、支付详情、电子邮件地址、名称、IP地址；

  用户信息：姓名、地址。生日、电话号码、电子邮件地址、IP地址、其他国家身份证号码及护照信息、账户密码等

  Rotem在VPNMentor上发布了调查报告，称其在3月份发现这个不安全的数据库，泄露的记录约有150万条。这些数据并没有什么加密措施，有些甚至完全没有加密。他表示，这些泄露的信息不仅侵犯了客户隐私，还可能危及世界上言论和表达自由受限地区的客户。例如，一些性玩具和其他私密购买的产品，可能会在那些禁止LGBTQ +关系或婚前性行为的国家里引起法律问题。受影响的用户在阿拉伯联合酋长国和巴基斯坦这样出台了相关严格法律的国家中，甚至可能会被判死刑。

  此外，Rotem还在同一IP地址上发现了一个单独的基于Web的数据库管理系统，利用这个系统，可以操纵或破坏Gearbest母公司环球易购所运行的数据库。Gearbest总部位于深圳，位列全球250强网站之一，服务于华硕，华为，英特尔和联想等顶级品牌。这个公司在欧洲也拥有大量业务，在西班牙、波兰、捷克共和国和英国设有仓库，而这些国家都适用欧盟数据保护和隐私法。

  目前，Rotem已经联系了Gearbest ，但是Gearbest既没有关闭数据库保护数据也没有任何回应。这已经是Gearbest近年来发生的第二起安全事故了。2017年12月，Gearbest也曾因为撞库攻击而导致帐号信息泄露。待事件调查清楚后，Gearbest也许将面临GDPR的严重处罚。