Міжнародний бренд косметики Yves Rocher потрапив у інцидент із витоком даних особистої інформації мільйонів клієнтів. Поки що йдеться в основному про Канаду, але не виключено, що витік зачепить клієнтів Yves Rocher в інших країнах.
Косметичний гігант Yves Rocher попереджає, що гігантський витік відкрив особисті дані мільйонів клієнтів, в також містить важливу внутрішню інформацію про компанію. Витік даних походить із бази даних, яку залишила без захисту фірма-сторонній консультант, яка виступала підрядником для Yves Rocher, пише Threatpost.
Дослідники з vpnMentor заявили, що вони виявили незахищений сервер на движку Elasticsearch, що належить Aliznet – компанії, яка надає консультаційні послуги великим фірмам, включаючи IBM, Salesforce, Sephora та Louboutin. Сервер містив дані про міжнародний бренд косметики та краси Yves Rocher, який є одним із клієнтів Aliznet, а також розкривав повну особисту інформацію про мільйони клієнтів Yves Rocher.
“Найбільший вплив відчують Aliznet, його клієнт Yves Rocher та кінцеві клієнти роздрібної компанії”, – заявили дослідники безпеки в своєму листі, опублікованому в понеділок. Вони додали: “Витік даних з Aliznet має більш широкі наслідки, ніж вплив на окремих клієнтів. Порушення даних впливає на клієнтів Aliznet, які довіряють компанії захищати їх конфіденційну інформацію. Однак наше занепокоєння полягає в тому, що Aliznet може мати інші незахищені бази даних та додатки, які ще не були виявлені. Це означає, що інші клієнти Aliznet також можуть бути під загрозою “
Дослідники заявили, що вони можуть переглядати особисті дані 2,5 мільйонів лише канадських клієнтів Yves Rocher через незахищену базу даних, включаючи імена та прізвища, номери телефонів, адреси електронної пошти, дату народження та поштові індекси. Крім того, дослідники змогли переглянути записи про понад 6 мільйонів замовлень продукції Yves Rocher. Кожне замовлення було пов’язане з унікальним ідентифікатором клієнта; дослідники змогли використати записи з витоку особистих даних для ідентифікації осіб, які замовляли замовлення через свої посвідчення особи.
“Для кожного замовлення ми змогли переглянути суму транзакцій, використану валюту, дату доставки та місцезнаходження магазину, де розміщено замовлення, – заявили дослідники. – До записів замовлень також входило повне ім’я працівника, який обробляв кожне замовлення, разом з посвідченням особи”.
Сервер також розкрив внутрішню інформацію про компанію Yves Rocher, включаючи статистику, що описує трафік електронних та реальних крамниць, товарообіг та обсяги замовлень; описи продуктів та інгредієнти для понад 40 000 роздрібних товарів та цін на продукцію та відповідні коди пропозицій.
“До них належать файли PDF, що містять попередні оголошення про роботу Aliznet та історії успішності клієнтів, профілі співробітників Aliznet, контент веб-сайту та інші рекламні матеріали”, – зазначили дослідники.
Нарешті, дослідникам вдалося отримати доступ до інтерфейсу API для програми, створеної Aliznet для Yves Rocher. Незважаючи на те, що додаток було створено для використання співробітниками Yves Rocher, а не клієнтами, досить небезпечно, що програма пов’язана з базами даних, що містять домашні адреси клієнтів та історію покупок, вважають дослідники.
“Вивчивши інтерфейс, наші дослідники вважають, що хтось може легко увійти в систему за допомогою ідентифікатора працівника, виявленого у витоку Aliznet”, – сказали вони. “Незахищений додаток Yves Rocher, можливо, може надати хакерам та іншим зловмисникам додаткову інформацію про компанію та її клієнтів.”
Інтерфейс API також надав дослідникам доступ до інструментарію API, який, на їхню думку, може бути використаний для додавання, видалення чи зміни даних у базі даних компанії. За допомогою належних облікових даних конкурент або зловмисник може використовувати цей інструмент для підбору даних, пов’язаних із клієнтами, продуктами, магазинами тощо.
Витоки даних сторонніх виробників, які виявляють інформацію про клієнта та самих клієнтів, наприклад, у цьому випадку, несуть постійну загрозу для будь-якої компанії, яка обмінюється даними з партнерами, консультантами або компаніями, що надають послуги. У квітні сотні мільйонів записів у Facebook були знайдені у двох окремих наборах даних із відкритим доступом; тоді як у травні постачальник ІТ-послуг HCL Technologies ненавмисно відкрив паролі, чутливі звіти про проекти та інші приватні дані тисяч клієнтів. Тим часом з трьох загальнодоступних хмарних сховищ від іншої компанії з управління даними в червні, стався витік більше 1 терабайта даних від її топ-клієнтів з списку Fortune 100.
Дослідники попередили, що ця витікає база даних “може бути шкідливою на кількох різних рівнях”. Не тільки зловмисник може отримати доступ до персональних даних мільйонів, але й конкуренти Yves Rocher могли отримати доступ до інформації про внутрішній трафік компанії – отримавши важливі дані для запуску рекламних кампанії, націлених на клієнтів компанії.
“Вищезгадана база даних також пропонує конкурентам список канадських клієнтів Yves Rocher, а також їхнє ім’я, вік, контактну інформацію та історію замовлень, – зазначили дослідники. – Конкуруючі косметичні компанії можуть використовувати цю інформацію для створення високоефективних рекламних кампаній, орієнтованих на клієнтів Yves Rocher. Це може призвести до того, що Yves Rocher втратить клієнтів завдяки конкурентам”.
Стало відомо про одну з найбільших в історії кібератак на власників iPhone. За їх даними, зловмисники зламали низку сайтів і з їх допомогою заражали iOS-пристрої шкідливим ПЗ через уразливості нульового дня в операційній системі.
Окрім цього, дослідники з безпеки попереджають про зловживання протоколом Web Services Dynamic Discovery (WS-DD, WSD, або WS-Discovery), який може бути використаний зловмисниками для проведення множинних DDoS-атак.
Apple випустила оновлення мобільної операційної системи iOS, яка усуває уразливість, що дозволяла встановити джейлбрейк на iPhone з новою версією ОС.
Зверніть увагу, Google оголосила про нову програму збору помилок, за допомогою якої дослідники з питань безпеки можуть повідомляти про випадки зловживань, коли сторонні додатки крадуть або зловживають даними користувачів Google. За доповіді фахівців про “дірки” в захисті, зловживання та помилки призначено винагороду – до 50 тис. дол. США.