跨境电商平台Pandabuy泄露1700万条用户数据

近日，因大规模销售假货案而登上新闻热搜的中国跨境电商平台Pandabuy遭遇黑客二次勒索，黑客在数据泄露论坛以4万美元的价格出售包含1700万条用户数据的“Pandabuy的完整数据库”。

据BleepingComputer报道，Pandabuy声称此前曾为阻止被盗数据泄露支付过一次赎金，但同一黑客本周再次对其进行勒索。

Pandabuy是一个帮助全球用户从中国主要电商平台（如天猫、淘宝、京东）购买商品并进行国际配送的一站式跨境电商服务平台。公司仅仅成立2年后就拿到国内绝大部分卖家都羡慕的爆单量和营收，相关数据显示去年Pandabuy营业额就突破了40亿元。

Pandabuy的数据泄露在2024年3月31日首次曝光，当时黑客“Sanggiero”在BreachForums上公布了从Pandabuy窃取的300万条数据，曝光了客户姓名、电话、邮箱、登录IP、住址及订单详情。黑客声称利用Pandabuy API的多个漏洞，成功窃取了这些数据。

这些数据也被提交给了数据泄露通知服务Have I Been Pwned(HIBP)，其中包含135万条邮箱地址。

当时，Pandabuy选择不对外公开声明，仅在Discord频道上含混其词地表示因系统漏洞发生数据泄露。

2024年6月3日，同一黑客（Sanggiero）再次在数据论坛销售Pandabuy的泄露数据，这一次，该黑客表示愿意以4万美元出售Pandabuy的全部数据库。该数据库据称包含1700万条数据，规模远超先前泄露的数据。

尽管黑客未提供额外客户数据的样本，但上传了显示敏感员工信息（如邮箱和密码）的截图（下图）。

黑客二次勒索截图 来源：Bleepingcomputer

Pandabuy发言人向BleepingComputer承认，曾向黑客支付了一笔未公开金额的赎金，试图阻止数据泄露，但黑客可能已将数据共享给其他人，公司决定不再与其合作。

“目前，由于资金被冻结，我们无法继续向黑客支付费用，且他泄露的数据与上次一致。我们已确认所有漏洞在第一次泄露事件发生时就已修复。我们也了解到，黑客在与我们达成交易后，私下将我们的数据出售给了其他代理。未来我们无法再与他合作。”该发言人说道。

根据Pandabuy发言人自相矛盾的陈述，专家猜测Pandabuy并未一次性支付所有赎金，而Pandabuy发言人所指的“资金被冻结”，可能与中英警方今年4月初的一次联合执法行动有关。

中国警方在该行动中出动了200余警力和50名私营部门调查员以及当地协警，突击搜查了Pandabuy杭州办公室和多处仓库，拘捕了30多人，查获了数百万件包裹，其中包括数十万双假冒名牌运动鞋。在这次联合执法行动中，英国警方表示将对Pandabuy的英国资产采取行动。

根据目前的公开信息，Pandabuy已经承认在数据泄露事件中支付了（部分）黑客赎金，并确认修复了漏洞，但仍可能面临ICO的调查和处罚。

根据《通用数据保护条例》（GDPR），如果跨境电商网站Pandabuy泄露了1700万条（包含大量欧盟用户的）个人数据，不排除其英国总部可能面临严重处罚。GDPR对企业数据泄露事件的处罚分为两级：

• 一级罚款：最高可达870万英镑，或全球年营业额的2%，以较高者为准。这通常适用于较轻微的违规行为，例如记录保存不当或未及时通知信息专员办公室（ICO）等。

• 二级罚款：最高可达1750万英镑，或全球年营业额的4%，以较高者为准。这适用于更严重的违规行为，包括违反数据处理的核心原则，未能获得适当的用户同意，或未能实施适当的安全措施。

根据Enforcementtracker的不完全统计，GDPR生效以来，处罚案例数量最多的三种违规类型分别是：

• 数据处理的法律依据不充分

• 确保信息安全的技术和组织措施不充分

• 不遵守一般的数据处理原则

除了违规罚款，Pandabuy还将面临用户数据被竞争对手获取的商业风险和用户起诉的法律风险。

值得注意的是，在第一次数据泄露发生时，部分Pandabuy用户似乎并不在意。有用户在Raddit论坛调侃自己唯一担心的是购买假货的事情败露：

还有用户表示将因安全问题考虑选择其他跨境电商平台，例如SugarGoo、Cssbuy、Superbuy和Hagobuy。

截止发稿，Pandabuy并未在官方发布任何数据泄露相关的用户安全通知。安全专家建议Pandabuy用户认真对待数据泄露问题，尤其是警惕来自冒充Pandabuy的钓鱼邮件，并立即重置Pandabuy的账户密码，防止个人数据进一步泄露。

参考链接：

https://www.reddit.com/r/RepTronics/comments/1btpytd/update_on_pandabuy_getting_hacked_so_i_have_just/

https://www.bleepingcomputer.com/news/security/pandabuy-pays-ransom-to-hacker-only-to-get-extorted-again/