АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

04 сентября 2019

В Сети оставили данные миллионов клиентов Yves Rocher

Исследователи безопасности обнаружили открытый сервер Elasticsearch, на котором были размещены коммерческие сведения международной косметической компании Yves Rocher и данные 2,5 млн покупателей, пишет портал Threatpost.com.

Исследователи компании vpnMentor, обнаружившие утечку, сообщили, что скомпрометированный сервер Elasticsearch принадлежит канадской компании Aliznet, предоставляющей консалтинговые услуги ряду крупных фирм, включая IBM, Salesforce, Sephora и Louboutin. По словам исследователей, в хранилище можно было просмотреть личную информацию 2,5 млн клиентов компании Yves Rocher в Канаде. Утекли такие данные, как имена и фамилии, номера телефонов, адреса электронной почты, даты рождения и почтовые индексы.

В базе также оказались данные о более чем 6 млн заказов косметической продукции. Каждый заказ был связан  с уникальным ID-номером покупателя и содержал такие сведения, как сумма покупки, валюта оплаты, дата доставки,  местоположение магазина, в котором был сделан заказ, имя и ID сотрудника магазина.

Кроме того, незащищенный сервер раскрыл некоторую внутреннюю информацию самой компании Yves Rocher, включая статистику о покупательском трафике в магазинах, оборот и объем заказов, цены на продукцию, описания продуктов и ингредиентов для более чем 40 тыс. товарных позиций.

Исследователи утверждают, что им удалось получить доступ к API приложения Aliznet для Yves Rocher. Судя по всему, оно было создано для сотрудников косметической компании и связано с базами данных, содержащими адреса клиентов и историю покупок. В vpnMentor считают, что, используя ID сотрудника, злоумышленники могут получить доступ к обширной клиентской информации. А с помощью API Explorer злоумышленники способны добавлять, удалять или модифицировать информацию в хранилище, отмечают специалисты.

Таким образом, эта утечка несет опасность на нескольких уровнях, предупредили в vpnMentor. Злоумышленники могли получить доступ к ценным клиентским данным, а конкуренты Yves Rocher могли воспользоваться важными данными о «внутренней кухне» компании и скорректировать свои собственные планы. В итоге это может привести к оттоку клиентов и ослабить позиции Yves Rocher в конкурентной борьбе.

 

Читайте нас в Telegram и Facebook

Подпишитесь на рассылку INFOWATCH