全球在线零售商在线泄露了 11 亿条记录，包括客户数据

©网络研究院

安全研究员 Jeremiah Fowler 与Website Planet研究团队一起发现了一个无密码保护的数据库，其中包含大量记录。数据集总大小为 601.84 GB，文档总数超过 1,16B。

经过进一步研究，整个数据库中有多个引用表明该数据属于位于加利福尼亚的在线零售商 Vevor。根据 Crunchbase 的说法，他们在美国注册，但根据其网站上公开的详细信息（例如隐私政策），它似乎是一家中国公司。

根据他们的网站：“VEVOR 是一个专注于设备和工具的领先品牌。VEVOR 与数千名积极进取的员工一起，致力于以最低的价格为 DIY 爱好者和专业人士提供坚固的设备和工具。如今，VEVOR 已经满足了 200 多个国家和地区超过 1000 万客户的需求。”

两个单独的数据暴露：

第一个数据库最初是在 2022 年 4 月上旬发现的，尽管我们收到了多次负责任的披露通知，但我们从未收到回复，几天后该数据库被限制公开访问。

然后，在一个单独的 IP 地址上，不安全的 AWS 服务器在 2022 年 7 月上旬再次出现，当我们再次尝试联系所有者时，我们再次没有收到回复，幸运的是服务器很快就得到了保护。

错误配置是由服务器所有者（VEVOR 或其基础设施供应商）而非亚马逊网络服务造成的。

数据被标记为“生产”，包含似乎是各种类型的 PII 和与其在线操作相关的敏感数据，包括姓名、部分信用卡号码、交易 ID、订单和退款信息等客户信息，以及多得多。

包括姓名、电子邮件、家庭住址、货币等在内的付款和结账记录以纯文本和散列形式公开。

自 7 月以来，我们再也没有看到数据集被曝光。为确保它不会再次出现在网上以及恶意黑客会找到它，我们等了几个月才发布我们的发现。

数据库包含的内容：

2022 年 4 月的第一次曝光：总大小：406.79 GB / 文档总数：706,206,770

2022 年 7 月第二次曝光：总大小：601.84 GB / 文档总数：1,166,293,742

• 海量邮箱：7个名为“email-API”的文件夹，810万条记录，总计约31.64GB。基于 10,000 条记录的有限抽样，我们发现了 2,559 个看似独一无二的电子邮件地址。

  
  

• 名为“成员”的文件夹中有 1290 万条记录（其中一些我们无法分类）。但是，似乎并非所有这些记录都包含纯文本形式的客户名称。基于以有限样本量进行的测试，我们能够匹配可用的唯一用户 ID 号并将其与数据库的其他区域匹配。

  
  

• 具有多个本地化域的记录：

  .COM、.DE、.CO.UK、.CA、.IT、.ES、.FR、.AU。根据他们关于我们的页面，VEVOR 声称其业务遍及全球，在多个国家设有仓库运营和办事处。

  
  

• 用中文编写的错误消息以及托管在 amazonaws.com.cn 上的内部图像和其他文件。

  
  

• 内部 Vevor 帐户管理员名称和看似明文的密码。

  
  

• 活动密码重置链接。

  
  

• 部分信用卡号、护照参考号和税号。

  
  

• IP 地址、端口、路径、中间件和存储信息，网络犯罪分子可以利用这些信息来访问系统或服务。总的来说，这次曝光提供了对 Vevor 的运行结构、日志记录、监控和错误记录等的完整了解。

  
  

• 可用于深入网络的配置信息。

  
  

• 该数据库配置错误，并且在任何浏览器中都处于打开和公开访问状态，任何人都可以在没有管理凭据的情况下编辑、下载甚至删除数据。作为合法的安全研究人员，我们从不编辑、删除或修改我们发现的数据，并且只采集有限数量的样本用于研究目的。

海量记录

出于道德原因，我们不会下载数据，只会对有限数量的记录进行抽样，以验证我们的发现并估计数据的大小或规模。

由于有超过 10 亿条记录和有限的时间来审查这个庞大的数据集，因此很难准确评估可能有多少人受到影响或数据库包含的电子邮件总数。

目前还不清楚第一个实例暴露了多长时间，或者还有谁可能访问过暴露给任何有互联网连接的人的数据宝库。

数据暴露影响：

我们不知道也不能知道恶意行为者是否访问了数据库。但是，如果恶意个人访问了数据库，他们可能会使用其数据来针对用户进行犯罪活动。

• 网络钓鱼。当犯罪分子知道有关目标的私人或内部信息时，他们可以对受害者进行有针对性的网络钓鱼活动。假设网络犯罪分子可以发送电子邮件，引用他们最近从 Vevor 购买的商品，并要求客户在克隆网站上或什至通过电子邮件更新他们的付款信息。

  
  

  他们还可以发送一封电子邮件，要求目标取消订阅营销电子邮件、验证或更改他们的帐户密码，以及范围广泛的其他创造性欺诈活动。受害者没有理由不信任使用只有卖方和客户才知道的内部信息的通信。

  
  

• 潜在的财务欺诈：通过将 Vevor 暴露的 PII 与通过成功的网络钓鱼活动提取的任何其他信息相结合，网络犯罪分子可以进行无数形式的欺诈和网络盗窃。任何形式的公开支付信息对任何组织来说都是巨大的风险。

  经济利益是近 90% 的网络犯罪的主要目标。我们看到了多种支付方式，例如 PayPal*、信用卡和名为 Klarna* 的服务（一家瑞典金融科技公司，提供在线金融服务，例如在线店面支付，并提供“先买后付”支付）。

  
  

  Klarna 可用于在 Vevor 上购买的 35 至 1000 美元之间的订单。暴露支付记录的一个潜在风险是看到客户使用什么作为支付方式。然后可以将这些客户分为使用 PayPal* 付款的客户、使用 Klarna* 的客户、等等。

  
  

  网络犯罪分子然后可以尝试使用与支付服务关联的已知电子邮件来破解他们的帐户。他们还可以对客户进行社交工程以获取其电子邮件帐户的访问权限，并使用受害者的融资帐户非法向新地址进行购买。（*：请注意，PayPal 和 Klarna 均未在此漏洞中暴露，也不对其客户的暴露负责）

• 未经授权的访问：此次泄露中未加密的管理员用户名和密码可能允许恶意方访问 Vevor 的后端文件和客户用户帐户。出于道德原因，我们没有登录任何用户帐户，但这很容易访问。

  垃圾邮件：电子邮件垃圾邮件可能很危险，犯罪分子仍然使用这种旧方法的原因是因为它有效。垃圾邮件可能包括恶意链接、附件或图像，它们会使您的设备感染恶意软件。

  
  

密码重置中毒的可能风险

该数据库可公开访问，恶意行为者有可能删除、更改或编辑记录，包括插入恶意代码。作为有道德的研究人员，我们不会改变我们看到的数据。

密码重置中毒是一种较老的攻击方法，目前并未引起太多关注，但假设仍然可能发生。

在这种情况下，当恶意行为者操纵易受攻击的网站生成密码重置链接，将链接重定向到他们控制的欺诈域时，可能会发生密码重置中毒。

然后利用该域窃取重置用户密码所需的秘密令牌，并最终危及他们的帐户。

过去的法律问题

为了完整起见，公共网络搜索使我们了解到 VEVOR 是几起知识产权侵权诉讼（已解决和正在进行）的一方。

早在 2016 年，VEVOR 就面临着一系列侵犯版权和复制知名产品的诉讼。

• 2016 年 3 月，VEVOR 就出售印刷机制造商 Stahls 产品和 Hotronix Fusion 的专利技术、商标和版权内容的克隆副本达成了和解。

  
  

• 2020 年 1 月，General Wire Spring 公司对 VEVOR Corporation 提起知识产权和商标诉讼。

  
  

• Smoky Lake Maple Products 于 2020 年 2 月在其网站上发布消息称，VEVOR 声称出售 Badgerland 品牌的糖浆制作平底锅，并窃取了他们的照片和文字。

  
  

• 2021 年 12 月，Motion Pro 对 VEVOR 提起专利诉讼，指控 VEVOR 复制和销售 Motion Pro 的 BeadPro，该 BeadPro 以摩托车轮胎熨斗的形式销售，称其为 Vevor“轮胎工具”。

  
  

• 2022 年 3 月，以 Ken-Tool 的名义开展业务的 Summit Tool Company 对 VEVOR Corporation 提起诉讼。

  
  

2022 年 6 月，Nautilus Inc. 提起诉讼，指控 VEVOR Corporation 销售通过复制其专利技术开发的可调式哑铃。同样在 2022 年 6 月，英国政府拒绝进口多种 VEVOR 工具和焊机。

根据英国产品安全和标准办公室的说法，VEVOR 产品在边境被销毁，因为它们不安全，并且有触电和烧伤消费者的风险。

在做出任何发现后，我们的主要特权是突出我们发现周围的安全漏洞。我们通常的流程是简要概述潜在的数据所有者、记录中的内容，并说明披露的信息如何可能带来潜在的隐私和/或网络安全风险。

必须强调的是，我们没有指责，也没有暗示 Vevor 或其合作伙伴有任何不当行为。

我们的调查结果仅出于网络安全最佳实践的教育目的而发布。

原文始发于微信公众号（网络研究院）：全球在线零售商在线泄露了 11 亿条记录，包括客户数据