(轉自安全圈)
一家擁有龐大北美用戶群的中國在線零售商洩漏了
超過1TB的客戶數據。
Vpnmentor的研究人員於11月20日發現了LightInTheBox的重大安全性漏洞。
從2019年8月9日到2019年10月11日,研究人員能夠訪問包含1.3 TB每日日誌的海量數據庫,總計超過15億條記錄。
大量的數據洩漏危及了全球LightInTheBox客戶的安全,研究人員還能夠從供應商的子公司站點(包括MiniInTheBox.com)訪問數據。
研究人員稱:"我們的團隊能夠訪問此數據庫,因為它是完全不安全的,並且未加密。”
Vpnmentor於11月24日通知供應商該違規行為,儘管未收到任何答覆,但在LightInTheBox意識到其存在之後不久,該違規數據庫便被關閉。
LightInTheBox成立於2007年,銷售服裝、配件、小工具以及各種用於家庭和花園的產品。該零售商網站每月的1200萬訪問者中,大多數來自北美和歐洲。
該公司未提供有關其數據安全性和存儲實踐的具體細節,也未公開其為保護客戶數據可能採取的任何措施。
Vpnmentor研究人員稱:"數據洩露影響了世界各地的客戶,他們的許多國際站點中的條目都以多種語言顯示。”
此次洩漏的個人數據包括用戶的IP地址,居住國家/地區,電子郵件地址以及目標頁面和用戶在供應商網站上的在線活動。
研究人員說:“此次數據洩露表明,LightInTheBox在數據安全上有重大失誤,儘管此數據洩漏並沒有暴露關鍵的用戶數據,但他們並未採取一些基本的安全措施。”
研究人員警告說,這種洩密行為可能使客戶面臨的犯罪風險要遠大於在線欺詐。
“通過網站用戶的IP地址,我們能夠識別他們的居住城市。如果犯罪黑客能夠訪問此地址以及所暴露的其他數據,那他們可能會誘騙受害者洩露其住所地址,並將其作為盜竊和家庭搶劫的目標。”研究人員說道。
閱讀更多 奇安信安全內參 的文章
