Gearbest 的安全漏洞使得几乎任何人都可以访问其客户的个人数据。该商业网站将用户姓名、地址、电话号码甚至护照号码等敏感信息存储在不安全的数据库中。
中国在线购物网站 Gearbest 因价格低廉而闻名,该网站暴露了数百万客户帐户和数百万订单的个人数据。计算机安全研究人员发现经销商系统、继电器中存在重大漏洞TechCrunch。
一种安全漏洞,其形式为未受保护的服务器,每周有数百万条信息和交易通过该服务器:用户提供的个人数据(姓名、地址、电话号码)、订单号、购买的产品甚至付款记录,网络安全研究员 Noam Rotem 报告说。 TechCrunch 解释说,它就这一违规行为联系了 Gearbest,但媒体没有收到任何回复,而且该漏洞仍未得到填补。
TechCrunch 去咨询了这个几乎自助服务的数据库,并且能够亲自看到损坏情况。可以准确追踪消费者购买的商品、送货时间和地点。记者甚至在护照或国民身份证上发现了号码。
“曝光的订单不仅侵犯了客户隐私,还可能危及世界上自由受到限制的地区的人们。例如,在禁止 LGBTQ+ 关系或婚前性行为的国家,某些涉及性玩具或私密物品的购买可能会产生严重后果。”,媒体回忆道。
现在,我们对 Gearbest 的期望有两点:尽快纠正这一严重的安全缺陷,并向消费者甚至当局解释这一缺陷。