据外媒报道,安全研究员Noam Rotem在进行网络扫描时,发现一个没有密码保护的Elasticsearch服务器,可直接访问,每周都会暴露数百万条记录,包括客户数据、订单和付款记录。由于没有密码保护,任何人都可通过这个服务器搜索数据。调查显示,这个数据库来自Gearbest,是中国环球易购(Globalegrow)旗下的自营网站。
公开了什么样的数据?
Rotem在VPNMentor上发布了其调查报告。报告称,该数据库泄露的数据包括:
1、订单数据:购买的产品、邮寄地址与邮编、用户姓名、电子邮件地址、电话号码;
2、支付与收据信息:订单号、支付类型、支付详情、电子邮件地址、名称、IP地址;
3、用户信息:姓名、地址。生日、电话号码、电子邮件地址、IP地址、其他国家身份证号码及护照信息、账户密码等。
可能的影响
报告指出“Gearbest的数据泄漏超过150万条客户记录,增加了越来越多的组织,这些组织由于错误配置的Elasticsearch服务器而在2019年遭遇安全漏洞。Gearbest的事件脱颖而出,因为护照号码,国民身份证号码和全套未加密数据,包括电子邮件地址和密码都是暴露的信息。这些数据可以让黑客通过与其他数据库的交叉引用轻松窃取Gearbest的客户身份,并允许恶意行为者访问在线政府门户网站,银行应用程序,健康保险记录等。
Rotem在VPNMentor上发布了调查报告,称其在3月份发现这个不安全的数据库,泄露的记录约有150万条。这些数据并没有什么加密措施,有些甚至完全没有加密。他表示,这些泄露的信息不仅侵犯了客户隐私,还可能危及世界上言论和表达自由受限地区的客户。
此外,Rotem还在同一IP地址上发现了一个单独的基于Web的数据库管理系统,利用这个系统,可以操纵或破坏Gearbest母公司环球易购所运行的数据库。Gearbest总部位于深圳,位列全球250强网站之一,服务于华硕,华为,英特尔和联想等顶级品牌。这个公司在欧洲也拥有大量业务,在西班牙、波兰、捷克共和国和英国设有仓库,而这些国家都适用欧盟数据保护和隐私法。
目前,Rotem已经联系了Gearbest ,但是Gearbest既没有关闭数据库保护数据也没有任何回应。这已经是Gearbest近年来发生的第二起安全事故了。2017年12月,Gearbest也曾因为撞库攻击而导致帐号信息泄露。待事件调查清楚后,Gearbest也许将面临GDPR的严重处罚。
网站要部署SSL证书加密数据
相较于传统的HTTP明文协议,HTTPS协议可以确保传输数据的完整性和机密性,建立一条从用户端到网站服务器端的加密传输通道,通过复杂的握手协议,确保用户的传输信息不被第三方窃取或篡改。SSL证书有助于通过强大的加密方法保护网络上的数据。SSL证书使网站更安全,数据高度加密后通过网络发送,防止隐私信息的泄露。 SSL本质上是一个程序,它使得第三方更难参与用户和网站之间的事务,达到高度的安全性。
数安时代GDCA也建议各大网站通过部署SSL证书,实现HTTPS加密升级来保护用户的账户和密码等隐私信息,且部署SSL证书后,醒目的标志有助于用户区别假冒钓鱼网站,以防用户有不必要的损失。
在中国,通过国际Webtrust标准的认证的CA机构仅3家,具备了国际电子认证服务能力的CA机构,通过国际Webtrust标准的认证意味着CA机构的运营管理和服务水平符合国际标准,并且有能力、有资质提供全球化认证服务,是可靠电子认证服务的有效证明。其中一家就是数安时代GDCA,在国内是一个综合安全实力比较强的CA机构。需要购买SSL证书的企业或站长可以考虑一下,数安时代除了自主品牌GDCA,还有Symantec、Globalsign、GeoTrust等品牌,选择更多,一次性对比,提供行业最优惠的价格。有需要可以到官网咨询客服了解产品。
部分素材翻译于:techcrunch
领取优惠
提交成功!