国内某电商平台再被发现数据泄露 而且数据都是明文存储
国外独立安全研究人员发布的最新报告称位于中国深圳市的电子商务平台环球易购出现大规模数据泄露问题。
环球易购旗下有多个面向不同地区的电子商务和在线购物平台,包括面向国内用户和面向欧洲美洲用户的等。
研究人员表示环球易购的数据库压根没有使用密码保护,任何人都可以直接访问数据库访问任何用户的信息。
提交安全报告但无人理睬:
环球易购官方网站设有提交安全报告的页面,并表示将会为研究人员提交的安全漏洞进行评估发放漏洞奖金。
然而研究人员早就通过该页面向环球易购提交漏洞报告,但时至今日仍然没有回应且数据库继续公开暴露着。
问题服务器每周都会泄露高达数百万条记录,包括客户详细数据、订单记录、支付记录甚至国家和护照号码。
倘若诈骗分子发现这些数据则可以非常轻易的以订单失效等理由对用户进行诈骗,这种事情已经发生过多次。
说好的加密其实明文存储:
环球易购在其隐私政策中表明该公司会对用户的敏感信息进行加密,例如对密码加密和外部验证保护用户等。
然而实际上用户这些详细数据其实压根没有加密以明文进行存储,即便是用户的账号密码都是完全明文存储。
其中只有少部分电子邮件地址使用加密,但对于绝大多数用户来说自己的个人信息完全是裸奔的完全不安全。
研究人员随机挑选两个账号进行登录可以正常操作,所谓外部验证保护用户账号也只是环球易购的表面说辞。
或将面临欧盟GDPR处罚:
环球易购在欧洲多个国家例如西班牙、波兰、捷克和英国等等都设有仓库,为欧盟成员国的用户们提供服务。
这意味着环球易购需要遵守欧盟区去年通过的《通用数据保护条例》,违反此条例的话将会面临着巨额处罚。
同时这也是环球易购在短短两年内的第二次数据泄露, 2017年12月该网站证实其大量用户的账号信息被泄露。
此外研究人员还透露有个服务器可以直接访问环球易购总部数据库,这意味着国内用户数据也存在泄露风险。