数据泄露事件 | 熊猫购物API漏洞被利用，黑客泄露130万用户个人信息

熊猫购物（PandaBuy）是一个知名全球购物平台，为国际用户提供从中国各电子商务平台购买产品的服务（如天猫、淘宝、京东）。该公司最近确认遭受了一次大规模数据泄露，有130万用户受到影响。

泄露数据由两名黑客Sanggiero和IntelBroker在暗网论坛上发布，可信度较高，因为IntelBroker曾声称发动了许多网络攻击，其中大多数都得到了证实。

Sanggiero声称主要是利用了熊猫购物API中的几个漏洞以及其他一些漏洞，这些漏洞允许攻击者未经授权访问其内部服务，从而令其得以泄露300万+用户敏感数据（包括用户ID、姓名、电话号码、电子邮件、登录IP、订单历史记录、订单ID、家庭地址等等）。

创立数据泄露汇总服务、任职微软的安全研究员Troy Hunt证实了这些泄露的数据确实来自熊猫购物。Troy Hunt还透露，黑客声称的300万账户有所虚构夸大，根据数据泄露汇总服务的数据显示，共有1348407个熊猫购物账户在此次泄露中受到影响。

不久后，熊猫购物承认了此次数据泄露，表示“这起事件是由一个黑客组织使用非法技术突破平台的信息安全所致，试图进入平台的信息系统并在非法窃取了一些用户信息后公之于众。”熊猫购物发言人还澄清道，此事件并未泄露任何敏感数据，用户不必担心其订单、包裹、付款信息会被窃取，其账户是安全的。

参考链接：https://bbs.kanxue.com/thread-281199.htm?style=1

当下时代，数据关乎企业的运行命脉，数据安全已经成了每个企业必须要重视的问题，CISP-DSG认证培训是中国信息安全测评中心联合天融信开发的针对数据安全人才的培养认证，是业界首个针对数据安全治理方向的认证培训，能够让参训人员切实学到数据安全治理理念，提升人员数据安全的各方面能力，保障企业的数据安全。CISP-DSG 4 月份报名启动中，欢迎扫码咨询~

原文始发于微信公众号（天融信教育）：数据泄露事件 | 熊猫购物API漏洞被利用，黑客泄露130万用户个人信息