1月30日,安全研究员Jeremiah Fowler在网上发现了一个数据库,其中包含 “大量记录”。这个在网上公开的数据库没有密码保护,总共包含440,336,852条记录,连接到总部位于纽约的化妆品巨头雅诗兰黛。
雅诗兰黛是一家美国跨国公司,生产高档护肤、化妆品、香水和护发产品,并拥有多个品牌、并通过数字商务和零售渠道在全球范围内分销。
Fowler说:“该数据库似乎是一个内容管理系统,其中包含从网络的工作方式到内部文档的参考、销售矩阵数据等等的所有内容。一看到电子邮件地址,我验证电子邮件是真实可用的,随后立即与雅诗兰黛联系。”
之后,该公司对此发表声明:
“2020年1月30日,我们发现可以通过互联网临时访问一个教育平台的部分非客户电子邮件地址。这个教育平台不是面向客户的,也不包含客户数据。我们没有发现未经授权临时访问数据库的情况。雅诗兰黛公司非常重视数据隐私和安全性。我们一发现便立即采取行动以保护数据,并通知有关各方。”
随后雅诗兰黛立即关闭了对该数据库的访问通道,对数据进行保护。
Fowler补充说,当时尚不清楚数据库中公开了多少个电子邮件地址,以及在线公开了多长时间的数据。此外,还不清楚的是第三方(包括威胁行为者)是否访问了数据。
公开的数据库记录不包含付款数据或敏感的员工信息,数据库泄露的其他数据则包括:
以纯文本格式存储的用户电子邮件,包括来自@ estee.com域的内部电子邮件地址;
内部大量IT日志,包括生产、审核、错误、内容管理系统和中间件报告;
参考报告和其他内部文件;
对公司内部使用的IP地址,端口、路径和存储的引用。
KnowBe4的安全意识倡导者Erich Kron通过电子邮件说:“这或许是一个简单的配置错误,例如,在共享驱动器或数据库上设置权限,因而造成的数据泄露。”
此外,Fowler还警告说,“雅诗兰黛公司使用了数以百万计的中间件记录。中间件是一种在操作系统提供的功能之外为应用程序提供通用服务和功能的软件。数据管理,应用程序服务,消息传递,身份验证和API管理通常都由中间件处理。”
“这种数据泄露的另一个潜在风险,即中间件可以为恶意软件创建辅助路径,从而可以破坏应用程序和数据。在这种情况下,任何连网的用户都可以查看到目标系统版本或软件版本,路径地址以及其他可以作为网络后门所使用的数据。”
因此,广大雅诗兰黛的客户应保持警惕,以防犯罪分子进行电子邮件网络钓鱼。
https://securityaffairs.co/wordpress/97675/data-breach/estee-lauder-data-leak.html
https://www.bankinfosecurity.com/unsecured-estee-lauder-database-exposed-440-million-records-a-13712
https://threatpost.com/estee-lauder-440m-records-email-network-info/152789/
*本文作者:Sandra1432,转载请注明来自FreeBuf.COM