电商LightInTheBox泄露1.3TB Web服务日志

发布者:蔡瑞奎发布时间:2019-12-23浏览次数:529

22.png

       vpnMentor的研究人员发现,中国电商LightInTheBox.com的一个不安全的Elasticsearch服务器暴露在互联网上,泄露了1.3TB的web服务器日志。

       LightInTheBox是一家在纽约证券交易所(New York Stock Exchange)上市的中国在线零售商,其大部分客户来自北美和欧洲。LightInTheBox主要销售小配件、服装。

       LightInTheBox相关网站的月访问量超过1200万人次,旗下还有几家规模较小的子公司。

vpnMentor在11月下旬发现这起数据泄漏事件,所涉及的数据都是“不安全、未加密的”,任何人都可以通过Web浏览器进行访问。

       根据vpnMentor的声明,这个数据库是在网络安全分析师Noam Rotem和Ran Locar的带领下发现的。

    “这是一个庞大的数据库,包括超过1TB的日志,危害全球LightInTheBox客户的安全。”

      这个不安全的Elasticsearch包含了超过1.3TB、15亿多条的数据,其中还包括来自MiniInTheBox.com等子网站的数据。

      vpnMentor的研究人员指出,这主要是因为电商实施的安全保障不够。

      Web服务日志主要包含了从2019年8月9日到10月11日的站点相关活动。

      被曝光的数据包括电子邮件地址、IP地址、居住国和每位访问者在LightInTheBox网站上访问的页面。

22.png

      安全专家表示,这可能会引发针对性网络钓鱼攻击,利用浏览历史等信息进行诈骗。

时间轴如下:

发现日期:11月20日

联系日期:11月24日

行动日期:11月24日

      “这次数据泄露代表了LighInTheBox公司在数据安全方面存在重大失误。虽然并没有泄露高度敏感的数据,但其中仍蕴含不小的风险。”