Косметическая фирма Avon скомпрометировала 19 млн записей ПДн

Из-за неверных настроек облачного хранилища косметический бренд Avon допустил утечку множества клиентской информации и токенов доступа, передает HackRead.

Исследователи кибербезопасности из компании SafetyDetectives под руководством Анурага Сена (Anurag Sen) обнаружили неправильно сконфигурированную облачную базу, принадлежащую компании Avon. Доступ к хранилищу мог получить любой, кто знал IP-адрес сервера.

В облаке Avon найдены порядка 19 млн записей персональных данных клиентов и сотрудников, включая такую информацию, как полные имена, телефонные номера, адреса электронной почты, физические адреса, GPS-координаты, сумма последнего заказа.

Помимо этого, на сервере хранились API-логи веб-сайтов и мобильных приложений компании. Также исследователи убедились, что в облаке были порядка 40 тыс. внутренних OAuth-токенов, использование которых могло обеспечить злоумышленникам доступ к инфраструктуре Avon.

Согласно отчету исследователей, облачное хранилище Avon находилось в открытом доступе девять дней – с 3 по 12 июня. Пока неясно, имеет ли этот инцидент отношение к утечке, случившейся в мае. Тогда в Сети был обнаружен незащищенный сервер ElasticSearch, принадлежащий бразильской косметической компании Natura&Co. В результате той утечки было скомпрометировано 192 млн записей ПДн.

Напомним, что в начале 2020 г. Natura&Co приобрела 78% акций Avon.