Gearbest不受保護(hù)的數(shù)據(jù)庫使數(shù)百萬用戶面臨風(fēng)險(xiǎn)

亞馬遜可能是電子商務(wù)的國際代碼字，但也有其他參與者，尤其是在其他地區(qū)和較小的市場中。中國在全球范圍內(nèi)都擁有阿里巴巴和Gearbest這樣的運(yùn)輸產(chǎn)品，其中許多是電子設(shè)備。僅Gearbest就能滿足250個(gè)國家/地區(qū)的需求，其客戶可能有數(shù)百萬。由于我們聽說過一些最糟糕的安全實(shí)踐，所有這些數(shù)據(jù)都容易暴露其個(gè)人，私人和有時(shí)包括犯罪數(shù)據(jù)。

當(dāng)您的業(yè)務(wù)涉及在線購物時(shí)，您自然會擁有一些重要的信息。除其他事項(xiàng)外，您還將擁有購物者的姓名，實(shí)際地址，電子郵件，電話號碼和付款信息。保護(hù)這些數(shù)據(jù)符合您的最大利益，這不僅是因?yàn)樗兄诩ぐl(fā)對您業(yè)務(wù)的信任，而且還因?yàn)槟承┧痉ü茌爡^(qū)在法律上要求提供該數(shù)據(jù)。

中國電子商務(wù)網(wǎng)站Gearbest的隱私政策明確向客戶保證。除了說明收集哪些數(shù)據(jù)外，它還告訴用戶這些詳細(xì)信息已通過加密得到了徹底保護(hù)。一份新的安全報(bào)告提出了其他要求，并揭示了Gearbest的行為與它所說的完全相反。

發(fā)現(xiàn)Gearbest的訂單，付款和用戶數(shù)據(jù)庫是不安全的。經(jīng)驗(yàn)豐富的白帽黑客很快就可以入侵該網(wǎng)站的系統(tǒng)并提取數(shù)據(jù)。更糟糕的是，這些數(shù)據(jù)幾乎沒有被真正加密，這使得擁有數(shù)據(jù)庫的任何人都很難獲得所需的信息。

Gearbest不僅缺乏身份盜用的威脅，還缺乏行業(yè)標(biāo)準(zhǔn)的安全實(shí)踐，對用戶構(gòu)成了潛在的情感甚至物理威脅?？梢詫?shù)據(jù)庫進(jìn)行交叉引用，以找到有關(guān)用戶的關(guān)鍵信息，這些信息隨后可能被用來勒索用戶，或者更糟的是將其移交給壓迫性政府。發(fā)現(xiàn)并測試了數(shù)據(jù)泄露的vpnMentor將此問題通知了Gearbest。不幸的是，該公司沒有采取行動，甚至沒有對該報(bào)告做出回應(yīng)。