北京時間3月15日上午消息，美國科技科技媒體TechCrunch報道，一名安全研究人員發現，中國環球易購(Globalegrow)旗下自營網站Gearbest泄露了數百萬用戶資料和購物訂單。

研究人員諾姆·羅特姆(Roam Rotem)發現，一個Elasticsearch服務器每周都會泄露數百萬條記錄，包括客戶數據、訂單和支付記錄。該服務器并沒有用密碼保護，所有人都可以搜索到這些數據。

Gearbest網站排名全球前250位，為華碩、華為、英特爾和聯想等品牌提供服務。

已經通過該公司的專用安全頁面與之取得聯系。但Gearbest尚未作出回應，也沒有對數據加以保護。

羅特姆已公開了他的發現，他表示，泄露的數據中包含用戶姓名、地址、電話號碼、電子郵箱和訂單及產品信息。該數據庫還包含支付和發票信息，附帶有支付金額以及半隱藏的姓名和電子郵件地址。

在對部分數據進行評估后，TechCrunch發現該數據庫可以查到用戶購買商品的時間和郵寄地址。

其中一些會員訂單還包含護照號等身份信息。羅特姆表示，該數據庫并沒有多少加密措施，有的甚至完全沒有加密。

魯特曼還在相同的IP地址上發現了另外一個網絡數據庫管理系統，讓所有人都可以操縱和破壞Gearbest母公司環球易購的數據庫。

目前還不清楚這些數據庫曝光了多長時間。互聯網掃描網站Binary Edge的數據顯示，這些數據庫是在3月7日首次被探測到的。

總部位于深圳的Gearbest在歐洲觸角很廣，在西班牙、波蘭、捷克共和國和英國都設有倉庫，那里都要遵守歐洲的隱私保護法。任何違反《通用數據保護條例》(GDPR)的企業都有可能面臨最多相當于全球年營收4%的罰款。

這是Gearbest近年來遭遇的第二起安全事故。該公司2017年12月曾經證實其帳號信息泄露。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。