Kunder verden over er berørt av en massiv datalekkasje hos den kinesiske billig-portalen Lightinthebox.com, som også retter seg mot norske kunder, med egne sider på norsk og tilbud om gratis frakt.
Det som viste seg å være en Elasticsearch-database på svimlende 1,3 terabyte lå usikret og åpent tilgjengelig på internett. Funnet er gjort av sikkerhetsforskere i Vpnmentor, som er en tjeneste som evaluerer VPN-tjenester.
I slutten av november fant de databasen, som skal bestå av daglige webserverlogger med til sammen 1,5 milliarder oppføringer, kundedata og brukeraktivitet fra Lightinthebox.com i perioden 9. august til 11. oktober 2019.
Ifølge en rapport om hendelsen består lekkasjen av kundenes IP-adresser, hvilket land de bor i, epostadresser og besøkshistorikk. Lekkasjen skal også omfatte datterselskaper som Miniinthebox.com.
Lightinthebox har hovedkvarter i Beijing, men er børsnotert i New York. Selskapet har ikke svart på henvendelser eller kommentert saken. Hendelsen er heller ikke nevnt i forbindelse med kvartalsrapporten de la fram forrige uke.
Straks etter å ha informert om sikkerhetsbruddet, ble databasen imidlertid sikret, ifølge Vpnmentor.
Regnskapet viser at Lightinthebox dro inn 1,4 millioner kundeordre i tredje kvartal. Samlet omsatte de for nær 60 millioner dollar. Driftsresultat før andre inntekter og kostnader (EBITDA) endte på 0,5 millioner dollar.
Lightinthebox har fått advarsel fra New York-børsen (Nyse) at den gjennomsnittlige sluttkursen har falt under 1 dollar per aksje over en periode på 30 handelsdager, som er den laveste gjennomsnittlige kursen for å fortsatt være børsnotert på Nyse. De står med andre ord i fare for avlisting.