DAJ CYNK

Wyciek danych z Avonu: to nie koniec kłopotów

Henryk Tur

Bezpieczeństwo

Na początku czerwca świat z firmy Avon Products nastąpił wyciek danych użytkowników. O ile Avon twierdził, że  sytuacja została opanowana, nie zgadzają się z tym badacze z SafetyDetectives.

Dalsza część tekstu pod wideo
 

Avon Products poinformował o incydencie 9 czerwca - część systemów informatycznych przestała działać. 12 czerwca pojawił się komunikat o prowadzonym dochodzeniu mającym określić skalę incydentu, a także zagrożeniu danych osobowych. Równocześnie podano, że witryna e-commerce nie przechowuje żadnych danych kart kredytowych. I choć wkrótce większość systemów operacyjnych wznowiła działalność, media informowały o wycieku danych 250 tys. klientów. Teraz do tych wątpliwości swoje dokłada SafetyDetectives.

Zdaniem badaczy, informacje przekazywane przez dostawców kosmetyków są rozbieżne z ich ustaleniami. Niezabezpieczony serwer Avon.com zawierał dzienniki API zarówno dla strony internetowej, jak i mobilnej. Czyli - wszystkie informacje o serwerze produkcyjnym wraz z logowaniem i odświeżaniem tokenów OAuth zostały ujawnione. Ponadto baza danych zawierała ponad 7 GB danych. A w nich widzimy:

  • imiona i nazwiska, numery telefonów, daty urodzenia i adresy zamieszkania
  • adresy e-mail, współrzędne GPS, ostatnie kwoty płatności
  • nazwiska pracowników firmy (niepotwierdzone)
  • ponad 40 000 tokenów bezpieczeństwa
  • tokeny OAuth i dzienniki wewnętrzne
  • ustawienia konta i informacje o serwerze

Zobacz także: Wattpad zaliczył ogromny wyciek danych. Użytkownicy są wściekli

Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce, komentuje:

Niepokojące jest to, że wyciek ujawnił mnóstwo dzienników technicznych, które można wykorzystać nie tylko do atakowania klientów Avon Products, ale także bezpośrednio do infrastruktury informatycznej tej firmy, prowadząc w ten sposób do dalszych zagrożeń bezpieczeństwa i konsekwencji finansowych. Biorąc pod uwagę rodzaj i ilość udostępnionych poufnych informacji, hakerzy byliby w stanie przejąć pełną kontrolę nad serwerem i przeprowadzić poważne działania, które trwale mogą niszczyć markę Avon; mianowicie ataki ransomware i paraliżowanie infrastruktury płatniczej firmy. Warto przypomnieć, że brazylijska firma Natura & Co Cosmetics, która nabyła 76 proc. udziałów w Avon Products, również doświadczyła podobnego incydentu związanego z bezpieczeństwem w kwietniu 2020 roku. Wówczas dane osobowe ponad 190 milionów klientów zostały znalezione całkowicie niezabezpieczone na dwóch serwerach Amazon w USA. Jednak w przeciwieństwie do wycieku danych Avon, serwery Natura zawierały informacje o płatnościach 40 tys. kupujących.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło tekstu: Bitdefender