Мошенники

Косметологи Yves Rocher слили данные миллионов покупателей

ИТ-партнер хранил личную информацию ее клиентов — доступ к базе данных могли получить все без исключения, в том числе и конкуренты. В руки злоумышленников попали даже ингредиенты продуктов Yves Rocher.


Масштабная утечка

Компания Yves Rocher допустила утечку личных данных миллионов своих клиентов. Все сведения хранились в незашифрованном виде — их обнаружили эксперты компании vpnMentor, занимающейся вопросами информационной безопасности.

В течение какого срока конфиденциальная информация находилась в открытом доступе, специалисты не установили, но известно точное число пострадавших — 2,5 млн человек, кто хоть раз совершал заказ в Yves Rocher. Также утекли и важные корпоративные сведения компании. База данных располагалась в кластере ElasticSearch.


Личная информация пользователей

Скомпрометированные сведения принадлежат клиентам Yves Rocher, проживающим в Канаде. Конкурентам компании доступны их имена, фамилии, , даты рождения, а также потовые индексы и адреса электронной почты.

Вместе с перечисленным база данных содержала сведения о заказах, совершенных этими людьми. В общей сложности специалистам vpnMentor удалось получить доступ к данным о 6 млн заказов, включающих в себя итоговую сумму, валюту, адрес и дату доставки. Все это располагалось на серверах консалтинговой компании Aliznet, сотрудничающей с Yves Rocher и оказывающей ей ИТ-услуги.


Корпоративные сведения

В дополнение к подробностям о клиентах Yves Rocher в базе данных обнаружилась и определенная информация корпоративного плана, которая тоже может быть интересна конкурирующим компаниям. Речь идет, в частности, о списке ингредиентов для более чем 40 тыс. продуктов, а также об их стоимости и кодах, информации о сотрудниках Yves Rocher, статистике магазинов (трафик, оборот и объемы заказов) и об идентификаторах всех сделанных заказов, по которым эксперты смогли вычислить фамилии, имена и другие данные людей, совершивших их.

API для Yves Rocher. изображение в полном размере

Специалисты vpnMentor получили доступ и к API-интерфейсу для приложения, созданного Aliznet для работников Yves Rocher. Здесь, используя сведения о персонале компании из той же базы данных, они обнаружили еще больше сведений о клиентах Yves Rocher и совершенных ими покупках. Кроме того, API позволяет добавлять в базу и удалять из нее новые сведения и заодно вносить любые изменения в уже имеющиеся строки.


Возможные последствия

Cтоль крупная утечка может обернуться серьезными финансовыми потерями для Yves Rocher. В частности, все сведения могут быть использованы конкурирующими косметическими компаниями для переманивания клиентов. По данным ресурса Teiss, к базе данных также могли получить доступ мошенники, киберпреступники и компании, занимающиеся рекламой, в том числе и рассылкой спама.

В результате все 2,5 млн человек могут , поскольку даже адрес их проживания, не говоря о других не менее важных сведениях стал известен неизвестному количеству третьих лиц. К примеру, их адреса e-mail могут быть использованы дл взлома аккаунтов в социальных сетях и других сервисах, а на номера телефонов могут начать поступать нежелательные рекламные звонки и содержащие спам SMS-сообщения. Специалисты vpnMentor не исключают вероятности существования и других открытых баз данных, содержащих информацию о клиентах других компаний, которым Aliznet оказывает свои услуги. В их число входят корпорации IBM, Oracle, Salesforce, Sephora и Louboutin. На момент публикации материала Aliznet и Yves Rocher на публикацию отчета vpnMentor не отреагировали.

[, 02.09.2019, 04.09.2019, “Данные более 2,5 млн клиентов Yves Rocher оказались в открытом доступе”: Также в открытом доступе оказались служебные данные косметической компании: статистика трафика магазина, объёмы заказов, описания и цены товаров, а также ингредиенты для более чем 40 тыс. продуктов.

— Как показывает практика, привлечение к работе ИТ-подрядчиков зачастую кратно данных клиентов компании. Компаниям же могу порекомендовать оперировать клиентскими данными самостоятельно и использовать современные DLP-решения для предотвращения утечек информации, — прокомментировал Лайфу инцидент руководитель аналитического центра компании Zecurion Владимир Ульянов.

Специалист отмечает, что подобная информация интересна конкурентам фирмы. Она позволит оценить торговые обороты Yves Rocher. — врезка К.ру]


База данных на 2 миллиарда

В июле 2019 года исследователи vpnMentor обнаружили в открытом доступе не менее крупную базу данных — она принадлежала разработчику решений для «умного дома» Orvibo. Он оставил в открытом доступе огромное количество данных о своих клиентах, включая пароли, геолокацию и почтовые адреса.

Сотрудники Orvibo разместили на незащищенной базе данных свыше 2 млрд логов, содержащих почтовые адреса, пароли, коды сброса паролей, точные геолокационные данные, IP-адреса, пользовательские имена и идентификаторы, а также наименования устройств, записи разговоров, сделанные через смарт-камеру и так далее. В открытом доступе оказались сведения пользователей из Китая, Японии, Таиланда, США, Мексики, Великобритании, Франции, Австралии и Бразилии, а сама база, как и в случае Yver Rocher, находилась в кластере ElasticSearch.

Потенциальным злоумышленникам достаточно поменять пароль и почтовый адрес, обнаруженные в утекшей базе данных, чтобы законный владелец потерял возможность управлять своим аккаунтом и контроль над устройствами «умного дома». Помимо этого, они смогут перехватывать , а также удаленно открывать «умные» замки на входных дверях. При этом у них есть адреса своих жертв, что многократно повышает риск для владельцев аккаунтов быть ограбленными.

 

Ильяс Касми