1月30日,安全研究員Jeremiah Fowler在網上發現了一個數據庫,其中包含 “大量記錄”。這個在網上公開的數據庫沒有密碼保護,總共包含440,336,852條記錄,連接到總部位于紐約的化妝品巨頭雅詩蘭黛。
雅詩蘭黛是一家美國跨國公司,生產高檔護膚、化妝品、香水和護發產品,并擁有多個品牌、并通過數字商務和零售渠道在全球范圍內分銷。
Fowler說:“該數據庫似乎是一個內容管理系統,其中包含從網絡的工作方式到內部文檔的參考、銷售矩陣數據等等的所有內容。一看到電子郵件地址,我驗證電子郵件是真實可用的,隨后立即與雅詩蘭黛聯系。”
之后,該公司對此發表聲明:
“2020年1月30日,我們發現可以通過互聯網臨時訪問一個教育平臺的部分非客戶電子郵件地址。這個教育平臺不是面向客戶的,也不包含客戶數據。我們沒有發現未經授權臨時訪問數據庫的情況。雅詩蘭黛公司非常重視數據隱私和安全性。我們一發現便立即采取行動以保護數據,并通知有關各方。”
雅詩蘭黛快速關閉對數據庫的訪問
隨后雅詩蘭黛立即關閉了對該數據庫的訪問通道,對數據進行保護。
Fowler補充說,當時尚不清楚數據庫中公開了多少個電子郵件地址,以及在線公開了多長時間的數據。此外,還不清楚的是第三方(包括威脅行為者)是否訪問了數據。
公開的數據庫記錄不包含付款數據或敏感的員工信息,數據庫泄露的其他數據則包括:
以純文本格式存儲的用戶電子郵件,包括來自@ estee.com域的內部電子郵件地址;
內部大量IT日志,包括生產、審核、錯誤、內容管理系統和中間件報告;
參考報告和其他內部文件;
對公司內部使用的IP地址,端口、路徑和存儲的引用。
數據泄露后存在的風險
KnowBe4的安全意識倡導者Erich Kron通過電子郵件說:“這或許是一個簡單的配置錯誤,例如,在共享驅動器或數據庫上設置權限,因而造成的數據泄露。”
此外,Fowler還警告說,“雅詩蘭黛公司使用了數以百萬計的中間件記錄。中間件是一種在操作系統提供的功能之外為應用程序提供通用服務和功能的軟件。數據管理,應用程序服務,消息傳遞,身份驗證和API管理通常都由中間件處理。”
“這種數據泄露的另一個潛在風險,即中間件可以為惡意軟件創建輔助路徑,從而可以破壞應用程序和數據。在這種情況下,任何連網的用戶都可以查看到目標系統版本或軟件版本,路徑地址以及其他可以作為網絡后門所使用的數據。”
因此,廣大雅詩蘭黛的客戶應保持警惕,以防犯罪分子進行電子郵件網絡釣魚。
來源:Freebuf
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照