Wyciek danych z Avonu: kłopotów ciąg dalszy

5 sierpnia 2020

Na początku czerwca doszło do dużego ujawnienia danych z Avon Products (19 milionów rekordów o klientach). Firma uspokajała pracowników i użytkowników twierdząc, że sytuacja została opanowana. Natomiast badacze z SafetyDetectives, uważają, że to nie koniec kłopotów.

Incydent z 9 czerwca zatrzymał działanie części systemów informatycznych oraz zakłócił funkcjonowanie firmy. Trzy dni później pojawił się komunikat o prowadzonym dochodzeniu mającym określić skalę incydentu, a także zagrożeniu danych osobowych. Avon Products jednocześnie uspokajał klientów, iż w ręce przestępców nie powinny trafić informacje dotyczące kart kredytowych, bowiem witryna e-commerce nie przechowuje tych danych. W trzecim oświadczeniu firma oznajmiła, że przywróciła do pracy większość systemów operacyjnych i wznowiła działalność na większości swoich rynków, w tym w większości centrów dystrybucyjnych. Z kolei media informowały o wycieku danych 250 tys. klientów Avon Products.

Avon wyciek danych
Informacja z pliku ujawniająca nazwisko pracownika firmy.

Zdaniem badaczy z SafetyDetectives informacje przekazywane przez dostawców kosmetyków są rozbieżne z ich ustaleniami. Z raportu opublikowanego 28 lipca wynika, że niezabezpieczony serwer Avon.com zawierał dzienniki API zarówno dla strony internetowej, jak i mobilnej. To oznacza, że ​​wszystkie informacje o serwerze produkcyjnym wraz z logowaniem i odświeżaniem tokenów OAuth zostały ujawnione. Ponadto baza danych zawierała ponad 7 GB danych, takich jak dane osobowe i nieosobowe informacje techniczne:

  • imiona i nazwiska, numery telefonów, daty urodzenia i adresy zamieszkania
  • adresy e-mail, współrzędne GPS, ostatnie kwoty płatności
  • nazwiska pracowników firmy (niepotwierdzone)
  • ponad 40 000 tokenów bezpieczeństwa
  • tokeny OAuth i dzienniki wewnętrzne
  • ustawienia konta i informacje o serwerze

Ujawnione informacje mogłyby potencjalnie zostać wykorzystane do oszustw związanych z tożsamością na różnych platformach. Poza tym dane osobowe są również wykorzystywane przez hakerów do budowania relacji i zaufania, z myślą o przeprowadzeniu w przyszłości włamań na większą skalę.

Niepokojące jest to, że wyciek ujawnił mnóstwo dzienników technicznych, które można wykorzystać nie tylko do atakowania klientów Avon Products, ale także bezpośrednio do infrastruktury informatycznej tej firmy, prowadząc w ten sposób do dalszych zagrożeń bezpieczeństwa i konsekwencji finansowych. Biorąc pod uwagę rodzaj i ilość udostępnionych poufnych informacji, hakerzy byliby w stanie przejąć pełną kontrolę nad serwerem i przeprowadzić poważne działania, które trwale mogą niszczyć markę Avon; mianowicie ataki ransomware i paraliżowanie infrastruktury płatniczej firmy.

Komentuje Mariusz Politowicz  z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Warto przypomnieć, że brazylijska firma Natura & Co Cosmetics, która nabyła 76 proc. udziałów w Avon Products, również doświadczyła podobnego incydentu związanego z bezpieczeństwem w kwietniu 2020 roku. Wówczas dane osobowe ponad 190 milionów klientów zostały znalezione całkowicie niezabezpieczone na dwóch serwerach Amazon w USA. Jednak w przeciwieństwie do wycieku danych Avon, serwery Natura zawierały informacje o płatnościach 40 tysięcy kupujących.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone