vpnMentor的研究人员发现,中国电商LightInTheBox.com的一个不安全的Elasticsearch服务器暴露在互联网上,泄露了1.3TB的web服务器日志。
LightInTheBox是一家在纽约证券交易所(New York Stock Exchange)上市的中国在线零售商,其大部分客户来自北美和欧洲。LightInTheBox主要销售小配件、服装。
LightInTheBox相关网站的月访问量超过1200万人次,旗下还有几家规模较小的子公司。
vpnMentor在11月下旬发现这起数据泄漏事件,所涉及的数据都是“不安全、未加密的”,任何人都可以通过Web浏览器进行访问。
根据vpnMentor的声明,这个数据库是在网络安全分析师Noam Rotem和Ran Locar的带领下发现的。
“这是一个庞大的数据库,包括超过1TB的日志,危害全球LightInTheBox客户的安全。”
这个不安全的Elasticsearch包含了超过1.3TB、15亿多条的数据,其中还包括来自MiniInTheBox.com等子网站的数据。
vpnMentor的研究人员指出,这主要是因为电商实施的安全保障不够。
Web服务日志主要包含了从2019年8月9日到10月11日的站点相关活动。
被曝光的数据包括电子邮件地址、IP地址、居住国和每位访问者在LightInTheBox网站上访问的页面。
安全专家表示,这可能会引发针对性网络钓鱼攻击,利用浏览历史等信息进行诈骗。
时间轴如下:
发现日期:11月20日
联系日期:11月24日
行动日期:11月24日
“这次数据泄露代表了LighInTheBox公司在数据安全方面存在重大失误。虽然并没有泄露高度敏感的数据,但其中仍蕴含不小的风险。”