Спецпроекты

Безопасность Пользователю Стратегия безопасности Интернет Веб-сервисы

Yves Rocher взломали по-крупному. Утекли данные миллионов клиентов и секретные рецепты

ИТ-партнер Yves Rocher хранил личную информацию ее клиентов в незащищенном виде – доступ к базе данных могли получить все без исключения, в том числе и конкуренты. В руки злоумышленников попали даже ингредиенты продуктов Yves Rocher.

Масштабная утечка

Компания Yves Rocher допустила утечку личных данных миллионов своих клиентов. Все сведения хранились в незашифрованном виде – их обнаружили эксперты компании vpnMentor, занимающейся вопросами информационной безопасности.

В течение какого срока конфиденциальная информация находилась в открытом доступе, специалисты не установили, но известно точное число пострадавших – 2,5 млн человек, кто хоть раз совершал заказ в Yves Rocher. Также утекли и важные корпоративные сведения компании. База данных располагалась в кластере ElasticSearch.

Личная информация пользователей

Скомпрометированные сведения принадлежат клиентам Yves Rocher, проживающим в Канаде. Конкурентам компании доступны их имена, фамилии, номера телефонов, даты рождения, а также потовые индексы и адреса электронной почты.

Yves Rocher не смогла удержать личные данные пользователей в тайне

Вместе с перечисленным база данных содержала сведения о заказах, совершенных этими людьми. В общей сложности специалистам vpnMentor удалось получить доступ к данным о 6 млн заказов, включающих в себя итоговую сумму, валюту, адрес и дату доставки. Все это располагалось на серверах консалтинговой компании Aliznet, сотрудничающей с Yves Rocher и оказывающей ей ИТ-услуги.

Корпоративные сведения

В дополнение к подробностям о клиентах Yves Rocher в базе данных обнаружилась и определенная информация корпоративного плата, которая тоже может быть интересна конкурирующим компаниям. Речь идет, в частности, о списке ингредиентов для более чем 40 тыс. продуктов, а также об их стоимости и кодах, информации о сотрудниках Yves Rocher, статистике магазинов (трафик, оборот и объемы заказов) и об идентификаторах всех сделанных заказов, по которым эксперты смогли вычислить фамилии, имена и другие данные людей, совершивших их.

yves601.jpg
API для Yves Rocher

Специалисты vpnMentor получили доступ и к API-интерфейсу для приложения, созданного Aliznet для работников Yves Rocher. Здесь, используя сведения о персонале компании из той же базы данных, они обнаружили еще больше сведений о клиентах Yves Rocher и совершенных ими покупках. Кроме того, API позволяет добавлять в базу и удалять из нее новые сведения и заодно вносить любые изменения в уже имеющиеся строки.

Возможные последствия

Cтоль крупная утечка может обернуться серьезными финансовыми потерями для Yves Rocher. В частности, все сведения могут быть использованы конкурирующими косметическими компаниями для переманивания клиентов. По данным ресурса Teiss, к базе данных также могли получить доступ мошенники, киберпреступники и компании, занимающиеся рекламой, в том числе и рассылкой спама.

В результате все 2,5 млн человек могут оказаться в опасности, поскольку даже адрес их проживания, не говоря о других не менее важных сведениях стал известен неизвестному количеству третьих лиц. К примеру, их адреса e-mail могут быть использованы дл взлома аккаунтов в социальных сетях и других сервисах, а на номера телефонов могут начать поступать нежелательные рекламные звонки и содержащие спам SMS-сообщения. Специалисты vpnMentor не исключают вероятности существования и других открытых баз данных, содержащих информацию о клиентах других компаний, которым Aliznet оказывает свои услуги. В их число входят корпорации IBM, Oracle, Salesforce, Sephora и Louboutin. На момент публикации материала Aliznet и Yves Rocher на публикацию отчета vpnMentor не отреагировали.

База данных на 2 миллиарда

В июле 2019 г. исследователи vpnMentor обнаружили в открытом доступе не менее крупную базу данных – она принадлежала разработчику решений для «умного дома» Orvibo. Он оставил в открытом доступе огромное количество данных о своих клиентах, включая пароли, геолокацию и почтовые адреса.

Сотрудники Orvibo разместили на незащищенной базе данных свыше 2 млрд логов, содержащих почтовые адреса, пароли, коды сброса паролей, точные геолокационные данные, IP-адреса, пользовательские имена и идентификаторы, а также наименования устройств, записи разговоров, сделанные через смарт-камеру и так далее. В открытом доступе оказались сведения пользователей из Китая, Японии, Таиланда, США, Мексики, Великобритании, Франции, Австралии и Бразилии, а сама база, как и в случае Yver Rocher, находилась в кластере ElasticSearch.

Потенциальным злоумышленникам достаточно поменять пароль и почтовый адрес, обнаруженные в утекшей базе данных, чтобы законный владелец потерял возможность управлять своим аккаунтом и контроль над устройствами «умного дома». Помимо этого, они смогут перехватывать видеопотоки с «умных» камер, а также удаленно открывать «умные» замки на входных дверях. При этом у них есть адреса своих жертв, что многократно повышает риск для владельцев аккаунтов быть ограбленными.

Эльяс Касми

Короткая ссылка