化妝品巨頭雅芳泄漏1900萬條數據記錄
責編:gltian |2020-07-31 10:18:46全球化妝品巨頭雅芳(Avon)最近因云服務器配置錯誤泄漏了1900萬條記錄,其中包括個人信息和技術日志。
SafetyDetectives的研究人員發現雅芳在Azure服務器上的Elasticsearch數據庫公開暴露,且沒有密碼保護或加密。
SafetyDetectives在隨后的一份報告中解釋說:
該漏洞實際上意味著擁有服務器IP地址的任何人都可以訪問公司的開放數據庫。
總部位于倫敦的雅芳公司在全球范圍內的年銷售額超過55億美元,此次暴露的7GB數據于6月12日被安全公司發現之前已經暴露了9天。
暴露的數據庫包含有關客戶和員工的個人身份信息(PII),包括全名、電話號碼、生日、電子郵件和家庭住址以及GPS坐標。此外包括40,000多個安全令牌、OAuth令牌、內部日志、賬戶設置和技術服務器信息。
根據SafetyDetectives的說法,雖然可以利用PII進行各種各樣的身份欺詐和后續的網絡釣魚詐騙,但暴露的技術細節也給雅芳自身帶來了風險。
鑒于提供的敏感信息的類型和數量,黑客將能夠掌握完全的服務器控制權并實施嚴重破壞性的行動,這些行動能永久性地損害雅芳品牌,暴露勒索軟件攻擊并使公司的支付基礎設施癱瘓。
有趣的是,6月9日向美國證券交易委員會提交的文件顯示,雅芳提及“在其信息技術環境中發生了網絡事件,該事件中斷了某些系統并部分影響了運營”。
雅芳在6月12日的第二次申明中指出,該公司正計劃重啟系統。
SafetyDetectives透露:
雅芳正在繼續調查以確定事件的程度,包括潛在的泄露的個人數據。盡管如此,由于它的主要電子商務網站未存儲該信息,因此目前尚無法預料信用卡詳細信息會受到影響。