全球化妆品巨头雅芳(Avon)最近因云服务器配置错误泄漏了1900万条记录,其中包括个人信息和技术日志。
SafetyDetectives的研究人员发现雅芳在Azure服务器上的Elasticsearch数据库公开暴露,且没有密码保护或加密。
SafetyDetectives在随后的一份报告中解释说:
该漏洞实际上意味着拥有服务器IP地址的任何人都可以访问公司的开放数据库。
总部位于伦敦的雅芳公司在全球范围内的年销售额超过55亿美元,此次暴露的7GB数据于6月12日被安全公司发现之前已经暴露了9天。
暴露的数据库包含有关客户和员工的个人身份信息(PII),包括全名、电话号码、生日、电子邮件和家庭住址以及GPS坐标。此外包括40,000多个安全令牌、OAuth令牌、内部日志、账户设置和技术服务器信息。
根据SafetyDetectives的说法,虽然可以利用PII进行各种各样的身份欺诈和后续的网络钓鱼诈骗,但暴露的技术细节也给雅芳自身带来了风险。
鉴于提供的敏感信息的类型和数量,黑客将能够掌握完全的服务器控制权并实施严重破坏性的行动,这些行动能永久性地损害雅芳品牌,暴露勒索软件攻击并使公司的支付基础设施瘫痪。
有趣的是,6月9日向美国证券交易委员会提交的文件显示,雅芳提及“在其信息技术环境中发生了网络事件,该事件中断了某些系统并部分影响了运营”。
雅芳在6月12日的第二次申明中指出,该公司正计划重启系统。
SafetyDetectives透露:
雅芳正在继续调查以确定事件的程度,包括潜在的泄露的个人数据。尽管如此,由于它的主要电子商务网站未存储该信息,因此目前尚无法预料信用卡详细信息会受到影响。