Artykuł miesiąca: Pracowniku pamiętaj o 1% dla Fundacji Opiekuńcze Skrzydła

AktualnościWiadomości

Wyciek danych z Avonu: kłopotów ciąg dalszy

 

Na początku czerwca świat obiegła informacja o dużym wycieku danych z Avon Products. Firma uspokajała pracowników i klientów twierdząc, że sytuacja została opanowana. Natomiast badacze z SafetyDetectives, uważają, że to nie koniec kłopotów.

Avon Products poinformował 9 czerwca o incydencie, który zatrzymał działanie części systemów informatycznych oraz zakłócił funkcjonowanie firmy. Trzy dni później pojawił się komunikat o prowadzonym dochodzeniu mającym określić skalę incydentu, a także zagrożeniu danych osobowych. Avon Products jednocześnie uspokajał klientów, iż w ręce przestępców nie powinny trafić informacje dotyczące kart kredytowych, bowiem witryna e-commerce nie przechowuje tych danych. W trzecim oświadczeniu firma oznajmiła, że przywróciła do pracy większość systemów operacyjnych i wznowiła działalność na większości swoich rynków, w tym w większości centrów dystrybucyjnych. Z kolei media informowały o wycieku danych 250 tys. klientów Avon Products.

Zdaniem badaczy z SafetyDetectives informacje przekazywane przez dostawców kosmetyków są rozbieżne z ich ustaleniami. Z raportu śledczego opublikowanego 28 lipca wynika, że niezabezpieczony serwer Avon.com zawierał dzienniki API zarówno dla strony internetowej, jak i mobilnej. To oznacza, że ​​wszystkie informacje o serwerze produkcyjnym wraz z logowaniem i odświeżaniem tokenów OAuth zostały ujawnione. Ponadto baza danych zawierała ponad 7 GB danych, takich jak dane osobowe i nieosobowe informacje techniczne:

– imiona i nazwiska, numery telefonów, daty urodzenia i adresy zamieszkania

– adresy e-mail, współrzędne GPS, ostatnie kwoty płatności

– nazwiska pracowników firmy (niepotwierdzone)

– ponad 40 000 tokenów bezpieczeństwa

– tokeny OAuth i dzienniki wewnętrzne

– ustawienia konta i informacje o serwerze

Ujawnione informacje mogłyby potencjalnie zostać wykorzystane do oszustw związanych z tożsamością na różnych platformach. Poza tym dane osobowe są również wykorzystywane przez hakerów do budowania relacji i zaufania, z myślą o przeprowadzeniu w przyszłości włamań na większą skalę.

– Niepokojące jest to, że wyciek ujawnił mnóstwo dzienników technicznych, które można wykorzystać nie tylko do atakowania klientów Avon Products, ale także bezpośrednio do infrastruktury informatycznej tej firmy, prowadząc w ten sposób do dalszych zagrożeń bezpieczeństwa i konsekwencji finansowych. Biorąc pod uwagę rodzaj i ilość udostępnionych poufnych informacji, hakerzy byliby w stanie przejąć pełną kontrolę nad serwerem i przeprowadzić poważne działania, które trwale mogą niszczyć markę Avon; mianowicie ataki ransomware i paraliżowanie infrastruktury płatniczej firmy – mówi Mariusz Politowicz  z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Warto przypomnieć, że brazylijska firma Natura & Co Cosmetics, która nabyła 76 proc. udziałów w Avon Products, również doświadczyła podobnego incydentu związanego z bezpieczeństwem w kwietniu 2020 roku. Wówczas dane osobowe ponad 190 milionów klientów zostały znalezione całkowicie niezabezpieczone na dwóch serwerach Amazon w USA. Jednak w przeciwieństwie do wycieku danych Avon, serwery Natura zawierały informacje o płatnościach 40 tys. kupujących.

Polecane artykuły
AktualnościWiadomości

Friede Springer uczyniła Mathiasa Döpfnera miliarderem

AktualnościWiadomości

Kalifornia ogłasza zakaz sprzedaży benzyny i oleju napędowego od 2035 roku

AktualnościWiadomości

Podróże i rozrywka to marzenia Polaków

AktualnościWiadomości

Digital People – druga edycja debaty o trendach i technologiach, które zmieniają biznes

Zapisz się do Newslettera
Bądź na bieżąco i otrzymuj najnowsze artykuły
%d bloggers like this: