Na początku czerwca świat z firmy Avon Products nastąpił wyciek danych użytkowników. O ile Avon twierdził, że sytuacja została opanowana, nie zgadzają się z tym badacze z SafetyDetectives.
Avon Products poinformował o incydencie 9 czerwca - część systemów informatycznych przestała działać. 12 czerwca pojawił się komunikat o prowadzonym dochodzeniu mającym określić skalę incydentu, a także zagrożeniu danych osobowych. Równocześnie podano, że witryna e-commerce nie przechowuje żadnych danych kart kredytowych. I choć wkrótce większość systemów operacyjnych wznowiła działalność, media informowały o wycieku danych 250 tys. klientów. Teraz do tych wątpliwości swoje dokłada SafetyDetectives.
Zdaniem badaczy, informacje przekazywane przez dostawców kosmetyków są rozbieżne z ich ustaleniami. Niezabezpieczony serwer Avon.com zawierał dzienniki API zarówno dla strony internetowej, jak i mobilnej. Czyli - wszystkie informacje o serwerze produkcyjnym wraz z logowaniem i odświeżaniem tokenów OAuth zostały ujawnione. Ponadto baza danych zawierała ponad 7 GB danych. A w nich widzimy:
Zobacz także: Wattpad zaliczył ogromny wyciek danych. Użytkownicy są wściekli
Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce, komentuje:
Niepokojące jest to, że wyciek ujawnił mnóstwo dzienników technicznych, które można wykorzystać nie tylko do atakowania klientów Avon Products, ale także bezpośrednio do infrastruktury informatycznej tej firmy, prowadząc w ten sposób do dalszych zagrożeń bezpieczeństwa i konsekwencji finansowych. Biorąc pod uwagę rodzaj i ilość udostępnionych poufnych informacji, hakerzy byliby w stanie przejąć pełną kontrolę nad serwerem i przeprowadzić poważne działania, które trwale mogą niszczyć markę Avon; mianowicie ataki ransomware i paraliżowanie infrastruktury płatniczej firmy. Warto przypomnieć, że brazylijska firma Natura & Co Cosmetics, która nabyła 76 proc. udziałów w Avon Products, również doświadczyła podobnego incydentu związanego z bezpieczeństwem w kwietniu 2020 roku. Wówczas dane osobowe ponad 190 milionów klientów zostały znalezione całkowicie niezabezpieczone na dwóch serwerach Amazon w USA. Jednak w przeciwieństwie do wycieku danych Avon, serwery Natura zawierały informacje o płatnościach 40 tys. kupujących.
Źródło tekstu: Bitdefender