Косметологи Yves Rocher слили данные миллионов покупателей

ИТ-партнер хранил личную информацию ее клиентов — доступ к базе данных могли получить все без исключения, в том числе и конкуренты. В руки злоумышленников попали даже ингредиенты продуктов Yves Rocher.


Масштабная утечка

Компания Yves Rocher допустила утечку личных данных миллионов своих клиентов. Все сведения хранились в незашифрованном виде — их обнаружили эксперты компании vpnMentor, занимающейся вопросами информационной безопасности.

В течение какого срока конфиденциальная информация находилась в открытом доступе, специалисты не установили, но известно точное число пострадавших — 2,5 млн человек, кто хоть раз совершал заказ в Yves Rocher. Также утекли и важные корпоративные сведения компании. База данных располагалась в кластере ElasticSearch.


Личная информация пользователей

Скомпрометированные сведения принадлежат клиентам Yves Rocher, проживающим в Канаде. Конкурентам компании доступны их имена, фамилии, , даты рождения, а также потовые индексы и адреса электронной почты.

Вместе с перечисленным база данных содержала сведения о заказах, совершенных этими людьми. В общей сложности специалистам vpnMentor удалось получить доступ к данным о 6 млн заказов, включающих в себя итоговую сумму, валюту, адрес и дату доставки. Все это располагалось на серверах консалтинговой компании Aliznet, сотрудничающей с Yves Rocher и оказывающей ей ИТ-услуги.


Корпоративные сведения

В дополнение к подробностям о клиентах Yves Rocher в базе данных обнаружилась и определенная информация корпоративного плана, которая тоже может быть интересна конкурирующим компаниям. Речь идет, в частности, о списке ингредиентов для более чем 40 тыс. продуктов, а также об их стоимости и кодах, информации о сотрудниках Yves Rocher, статистике магазинов (трафик, оборот и объемы заказов) и об идентификаторах всех сделанных заказов, по которым эксперты смогли вычислить фамилии, имена и другие данные людей, совершивших их.

008-yves-ggfddfg84760984360983409860948590876948

API для Yves Rocher. изображение в полном размере

Специалисты vpnMentor получили доступ и к API-интерфейсу для приложения, созданного Aliznet для работников Yves Rocher. Здесь, используя сведения о персонале компании из той же базы данных, они обнаружили еще больше сведений о клиентах Yves Rocher и совершенных ими покупках. Кроме того, API позволяет добавлять в базу и удалять из нее новые сведения и заодно вносить любые изменения в уже имеющиеся строки.


Возможные последствия

Cтоль крупная утечка может обернуться серьезными финансовыми потерями для Yves Rocher. В частности, все сведения могут быть использованы конкурирующими косметическими компаниями для переманивания клиентов. По данным ресурса Teiss, к базе данных также могли получить доступ мошенники, киберпреступники и компании, занимающиеся рекламой, в том числе и рассылкой спама.

В результате все 2,5 млн человек могут , поскольку даже адрес их проживания, не говоря о других не менее важных сведениях стал известен неизвестному количеству третьих лиц. К примеру, их адреса e-mail могут быть использованы дл взлома аккаунтов в социальных сетях и других сервисах, а на номера телефонов могут начать поступать нежелательные рекламные звонки и содержащие спам SMS-сообщения. Специалисты vpnMentor не исключают вероятности существования и других открытых баз данных, содержащих информацию о клиентах других компаний, которым Aliznet оказывает свои услуги. В их число входят корпорации IBM, Oracle, Salesforce, Sephora и Louboutin. На момент публикации материала Aliznet и Yves Rocher на публикацию отчета vpnMentor не отреагировали.

[, 02.09.2019, 04.09.2019, «Данные более 2,5 млн клиентов Yves Rocher оказались в открытом доступе»: Также в открытом доступе оказались служебные данные косметической компании: статистика трафика магазина, объёмы заказов, описания и цены товаров, а также ингредиенты для более чем 40 тыс. продуктов.

— Как показывает практика, привлечение к работе ИТ-подрядчиков зачастую кратно данных клиентов компании. Компаниям же могу порекомендовать оперировать клиентскими данными самостоятельно и использовать современные DLP-решения для предотвращения утечек информации, — прокомментировал Лайфу инцидент руководитель аналитического центра компании Zecurion Владимир Ульянов.

Специалист отмечает, что подобная информация интересна конкурентам фирмы. Она позволит оценить торговые обороты Yves Rocher. — врезка К.ру]


База данных на 2 миллиарда

В июле 2019 года исследователи vpnMentor обнаружили в открытом доступе не менее крупную базу данных — она принадлежала разработчику решений для «умного дома» Orvibo. Он оставил в открытом доступе огромное количество данных о своих клиентах, включая пароли, геолокацию и почтовые адреса.

Сотрудники Orvibo разместили на незащищенной базе данных свыше 2 млрд логов, содержащих почтовые адреса, пароли, коды сброса паролей, точные геолокационные данные, IP-адреса, пользовательские имена и идентификаторы, а также наименования устройств, записи разговоров, сделанные через смарт-камеру и так далее. В открытом доступе оказались сведения пользователей из Китая, Японии, Таиланда, США, Мексики, Великобритании, Франции, Австралии и Бразилии, а сама база, как и в случае Yver Rocher, находилась в кластере ElasticSearch.

Потенциальным злоумышленникам достаточно поменять пароль и почтовый адрес, обнаруженные в утекшей базе данных, чтобы законный владелец потерял возможность управлять своим аккаунтом и контроль над устройствами «умного дома». Помимо этого, они смогут перехватывать , а также удаленно открывать «умные» замки на входных дверях. При этом у них есть адреса своих жертв, что многократно повышает риск для владельцев аккаунтов быть ограбленными.

 

Ильяс Касми

Оставьте комментарий первым на "Косметологи Yves Rocher слили данные миллионов покупателей"

Оставьте комментарий

Your email address will not be published.


*