PandaBuy 在线购物平台超过 130 万客户的数据已被泄露，据称是在两名威胁行为者利用多个漏洞破坏系统之后。

PandaBuy允许国际用户从中国各个电子商务平台购买产品，包括天猫、淘宝和京东。

昨天，一名名为“Sanggiero”的威胁行为者声称 PandaBuy 遭到破坏，据称该行为者与另一名名为“IntelBoker”的威胁行为者一起实施了攻击。

威胁行为者表示：“数据是通过利用平台 API 中的几个关键漏洞而被盗的，并且还发现了其他允许访问网站内部服务的错误。”

“数据包含 3M+ 唯一的用户 ID、名字、姓氏、电话号码、电子邮件、登录 IP、订单数据、订单 ID、家庭地址、邮政编码、国家/地区等。”

根据数据泄露聚合服务 Have I Been Pwned (HIBP) 的数据，1,348,407 个 PandaBuy 账户已在此次泄露中暴露。

PandaBuy 购物者的详细信息在论坛上泄露，任何注册会员都可以通过象征性的加密货币支付来获得。

为了向未注册会员证明信息有效，威胁行为者提供了一个小样本，其中包含电子邮件地址、客户姓名、订单号和详细信息、送货地址、交易日期和时间以及付款 ID。

HIBP 的创建者 Troy Hunt 使用泄露的地址测试了密码重置请求，并确认至少 130 万个电子邮件地址是有效的且来自 PandaBuy。 其余的都是虚构和重复的地址，因此“300 万”这个数字被威胁行为者夸大了。

PandaBuy 尚未就数据泄露事件发表任何声明。 据一些报道称，该公司试图通过审查 Discord 和 Reddit 上的用户帖子来掩盖这一事件。

一位在 Discord 频道担任管理员角色的公司代表表示，过去曾发生过安全事件，泄露的数据是旧数据，平台的安全团队已及时对问题做出了回应。

如果您有PandaBuy账户，强烈建议您重置密码。 此外，对诈骗企图保持警惕，并以怀疑的态度对待未经请求的通信。

PandaBuy 用户数据已添加到 HIBP，该服务的订阅者应该已经收到一封电子邮件，通知他们泄露事件。

文章原文链接:https://www.anquanke.com/post/id/295199