“ Gearbest 众所周知,它是一个巨大的网上商店,主要经营中国产品。
Μ在他的页面上发现最严重的安全漏洞之后 GearBest,公司发表如下声明:
虽然我们发现安装在用于存储或处理数据的服务器上的所有数据库都受到所有必要的加密措施的保护并且是完全安全的,但我们用来临时存储数据的一些外部工具可能会被其他人访问,因此可能被侵犯了。
我们使用的外部工具旨在改善保护并防止数据过载,数据在此类工具上存储的时间少于 3 个日历日,然后才会自动损坏。 考虑到可能存在的数据安全漏洞,我们对这些工具进行了强大的防火墙保护,以防止此类数据被他人恶意攻击。
然而,我们的研究表明, 1年2019月XNUMX日, 由于仍在调查中的原因,我们的一名安全团队成员错误地禁用了防火墙。 防火墙缺乏数据保护使这些数据暴露在未经进一步身份验证的情况下被第三方扫描和访问。
目前,我们认为这可能影响了我们的新进入者以及我们的老客户在从 1年2019月15日至2019年XNUMX月XNUMX日,总共有大约 280.000个订单. 幸运的是,我们在发现这个安全漏洞后的两个小时内就修复了这个漏洞,我们将进一步加强内部安全管理,以防止将来发生这种情况。
我们对发生的事情表示诚挚的歉意。
除了我们上面所做的,我们将紧急采取措施禁用这些新登录客户的密码,以防止他们非法登录他们的帐户,我们还将向所有感兴趣的客户发送电子邮件以更新他们的状态. .GearBest 官方声明
正如您所看到的,这可以被绕过——但除非您是一个知道他在做什么的技术人员,否则不能。
您可以在下方查看安全漏洞问题的历史记录。
ΣAndroid 社区, Gearbest 被称为在美国从小米和其他中国品牌购买设备的最简单方法之一。
如果你从 Gearbest 过去通过信用卡而不是通过 贝宝,您可能需要考虑更换信用卡,因为公司的主数据库被发现完全没有保险。
团队安全团队 虚拟专用网,由他领导 诺姆·罗特姆,发布了一份关于其安全性的报告 Gearbest. 该团队发现该站点的主数据库以及该站点的同级数据库(包括 Zaful、Rosegal 和 DressLily)都很容易访问,并且包含超过 1,5 万个文件。
一些可访问的信息包括电子邮件、帐户密码、IP 地址、生日、地址、付款信息和全名。
该团队能够毫不费力地连接到两个帐户。 每个客户订单的确切内容也是可见的。 其数据管理控制台 Gearbest 也可以访问,这意味着黑客可以轻松操纵有关站点的信息,禁用公司的部分服务器,甚至破坏仓库运营。 Gearbest.
可以肯定地说,这种数据泄露是可能发生的最糟糕的情况,在使用信用卡从 Gearbest 购物之前采取行动可能是个好主意。
到目前为止,GearBest 还没有对上述所有内容做出官方回应,将采取哪些步骤来纠正出现的安全问题还有待观察。
注意事项: 通常,这是许多其他在线商店和服务中可能存在的问题,最好不要通过信用卡进行交易,而是通过第三方服务进行交易,例如 Paypal - 预付卡 - 支付订单等。
和注意!
我们从不向没有通过 https:// 安全连接的页面提供银行详细信息 - 卡等:// 但简单的 http://
[the_ad_group id =“ 966”]
