A marca internacional de cosméticos Yves Rocher se viu presa em um incidente de exposição de dados de terceiros que vazou as informações pessoais de milhões de clientes.

yves rocher

A gigante de cosméticos Yves Rocher está avisando que um vazamento gigante de dados expôs os dados pessoais de milhões de seus clientes e reuniu ao público informações confidenciais da empresa. A exposição dos dados decorre de um banco de dados deixado desprotegido por um consultor terceirizado da empresa.

Pesquisadores do vpnMentor disseram na ultima semana que descobriram um servidor Elasticsearch desprotegido, de propriedade da Aliznet, que fornece serviços de consultoria para grandes empresas, incluindo IBM, Salesforce, Sephora e Louboutin. O servidor continha dados sobre a marca internacional de cosméticos e beleza Yves Rocher, que é um dos clientes da Aliznet, além de expor informações completas de identificação pessoal de milhões de clientes da Yves Rocher.

“Os maiores impactos serão sentidos pela Aliznet, seu cliente Yves Rocher e os clientes finais da empresa de varejo”, disseram os pesquisadores em um alerta de segurança publicado na ultima semana. Ele acrescentou: “O vazamento da Aliznet tem consequências de maior alcance do que o impacto em clientes individuais. A violação de dados afeta os clientes da Aliznet que confiaram na empresa para proteger suas informações confidenciais. Uma preocupação é que o Aliznet possa ter outros bancos de dados e aplicativos não seguros que ainda não foram descobertos. Isso significa que outros clientes da Aliznet podem estar em risco. ”

Nem Aliznet, nem Yves Rocher responderam a um pedido de comentário do Threatpost. Um porta-voz do vpnMentor disse ao Threatpost que o banco de dados foi protegido logo após a divulgação da exposição à Aliznet.

Os pesquisadores disseram que podiam visualizar os dados pessoais de 2,5 milhões de clientes canadenses da Yves Rocher através do banco de dados desprotegido, incluindo nomes e sobrenomes, números de telefone, endereços de e-mail, data de nascimento e códigos postais. Além disso, os pesquisadores conseguiram visualizar registros de mais de 6 milhões de pedidos de clientes para Yves Rocher. Cada pedido foi vinculado a um ID de cliente exclusivo; os pesquisadores foram capazes de usar os registros de dados pessoais vazados para identificar indivíduos que fizeram pedidos por meio de suas identificações.

“Para cada pedido, conseguimos visualizar o valor da transação, a moeda usada, a data de entrega e a localização da loja onde o pedido foi feito”, disseram os pesquisadores. “Os registros do pedido também incluíam o nome completo do funcionário que processou cada pedido, juntamente com a identificação do funcionário”.

O servidor também expôs informações internas sobre o próprio Yves Rocher, incluindo estatísticas que descrevem o tráfego da loja, rotatividade e volumes de pedidos; descrições e ingredientes de produtos para mais de 40.000 produtos de varejo e preços de produtos e códigos de ofertas relevantes.

“Isso incluía arquivos PDF contendo anúncios anteriores de empregos da Aliznet e histórias de sucesso de clientes, retratos de perfis de funcionários da Aliznet, mídia do site e outros materiais promocionais”, disseram os pesquisadores.

Finalmente, os pesquisadores conseguiram acessar a interface da API para um aplicativo criado pela Aliznet para Yves Rocher. Embora o aplicativo pareça ter sido criado para ser usado pelos funcionários da Yves Rocher – e não pelos clientes – de forma alarmante, ele está vinculado a bancos de dados que contêm os endereços residenciais dos clientes e históricos de compras, disseram os pesquisadores.

“Depois de examinar a interface, nossos pesquisadores acreditam que seria possível alguém facilmente fazer login no sistema usando uma identificação de funcionário exposta no vazamento da Aliznet”, disseram eles. “O aplicativo inseguro da Yves Rocher provavelmente forneceria aos hackers e outros agentes maliciosos informações adicionais sobre a empresa e seus clientes”.

A interface da API também deu aos pesquisadores acesso ao API Explorer, que eles acreditam que poderia ser usado para adicionar, excluir ou modificar dados no banco de dados da empresa. “Com as credenciais adequadas, um concorrente ou outra parte mal-intencionada pode usar essa ferramenta para violar dados relacionados a clientes, produtos, lojas e muito mais.”

Vazamentos de dados de terceiros, que expõem informações de clientes e clientes, como neste incidente, representam uma ameaça constante para qualquer empresa que compartilha dados com parceiros, consultores ou empresas de serviços. Em abril, centenas de milhões de registros do Facebook foram encontrados em dois conjuntos de dados de aplicativos expostos publicamente; em maio, o provedor de serviços de TI HCL Technologies expôs inadvertidamente senhas, relatórios confidenciais de projetos e outros dados privados de milhares de clientes. Enquanto isso, armazenamento em nuvem publicamente acessíveis de uma empresa de gerenciamento de dados vazaram em junho mais de um terabyte de dados de seus principais clientes da lista Fortune 100.

Os pesquisadores alertaram que esse banco de dados vazado “poderia ser prejudicial em vários níveis diferentes”. Não apenas os dados pessoais de milhões foram acessados ​​por um ator malicioso, mas os concorrentes do Yves Rocher poderiam acessar as informações de tráfego interno da empresa – fornecendo dados cruciais. para lançar campanhas.

“O banco de dados exposto também fornece aos concorrentes uma lista dos clientes canadenses da Yves Rocher, completos com nome, idade, informações de contato e histórico de pedidos”, disseram os pesquisadores. “As empresas concorrentes de cosméticos e beleza poderiam usar essas informações para criar campanhas publicitárias altamente eficazes direcionadas aos clientes da Yves Rocher. Isso pode levar a Yves Rocher a perder clientes para os concorrentes. ”

Fonte: Threat Post