1月30日，安全研究員Jeremiah Fowler在網(wǎng)上發(fā)現(xiàn)了一個數(shù)據(jù)庫，其中包含 “大量記錄”。這個在網(wǎng)上公開的數(shù)據(jù)庫沒有密碼保護，總共包含440,336,852條記錄，連接到總部位于紐約的化妝品巨頭雅詩蘭黛。

雅詩蘭黛是一家美國跨國公司，生產(chǎn)高檔護膚、化妝品、香水和護發(fā)產(chǎn)品，并擁有多個品牌、并通過數(shù)字商務和零售渠道在全球范圍內(nèi)分銷。

Fowler說：“該數(shù)據(jù)庫似乎是一個內(nèi)容管理系統(tǒng)，其中包含從網(wǎng)絡的工作方式到內(nèi)部文檔的參考、銷售矩陣數(shù)據(jù)等等的所有內(nèi)容。一看到電子郵件地址，我驗證電子郵件是真實可用的，隨后立即與雅詩蘭黛聯(lián)系?！?/p>

之后，該公司對此發(fā)表聲明：

“2020年1月30日，我們發(fā)現(xiàn)可以通過互聯(lián)網(wǎng)臨時訪問一個教育平臺的部分非客戶電子郵件地址。這個教育平臺不是面向客戶的，也不包含客戶數(shù)據(jù)。我們沒有發(fā)現(xiàn)未經(jīng)授權臨時訪問數(shù)據(jù)庫的情況。雅詩蘭黛公司非常重視數(shù)據(jù)隱私和安全性。我們一發(fā)現(xiàn)便立即采取行動以保護數(shù)據(jù)，并通知有關各方。”

雅詩蘭黛快速關閉對數(shù)據(jù)庫的訪問

隨后雅詩蘭黛立即關閉了對該數(shù)據(jù)庫的訪問通道，對數(shù)據(jù)進行保護。

Fowler補充說，當時尚不清楚數(shù)據(jù)庫中公開了多少個電子郵件地址，以及在線公開了多長時間的數(shù)據(jù)。此外，還不清楚的是第三方（包括威脅行為者）是否訪問了數(shù)據(jù)。

公開的數(shù)據(jù)庫記錄不包含付款數(shù)據(jù)或敏感的員工信息，數(shù)據(jù)庫泄露的其他數(shù)據(jù)則包括：

以純文本格式存儲的用戶電子郵件，包括來自@ estee.com域的內(nèi)部電子郵件地址；

內(nèi)部大量IT日志，包括生產(chǎn)、審核、錯誤、內(nèi)容管理系統(tǒng)和中間件報告；

參考報告和其他內(nèi)部文件；

對公司內(nèi)部使用的IP地址，端口、路徑和存儲的引用。

數(shù)據(jù)泄露后存在的風險

KnowBe4的安全意識倡導者Erich Kron通過電子郵件說：“這或許是一個簡單的配置錯誤，例如，在共享驅動器或數(shù)據(jù)庫上設置權限，因而造成的數(shù)據(jù)泄露。” 

此外，F(xiàn)owler還警告說，“雅詩蘭黛公司使用了數(shù)以百萬計的中間件記錄。中間件是一種在操作系統(tǒng)提供的功能之外為應用程序提供通用服務和功能的軟件。數(shù)據(jù)管理，應用程序服務，消息傳遞，身份驗證和API管理通常都由中間件處理。”

“這種數(shù)據(jù)泄露的另一個潛在風險，即中間件可以為惡意軟件創(chuàng)建輔助路徑，從而可以破壞應用程序和數(shù)據(jù)。在這種情況下，任何連網(wǎng)的用戶都可以查看到目標系統(tǒng)版本或軟件版本，路徑地址以及其他可以作為網(wǎng)絡后門所使用的數(shù)據(jù)?！?/p>

因此，廣大雅詩蘭黛的客戶應保持警惕，以防犯罪分子進行電子郵件網(wǎng)絡釣魚。

來源：Freebuf

及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)

【網(wǎng)絡安全監(jiān)管部門】免費試用

本文來源:

如涉及侵權，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權內(nèi)容。
電話：400-869-9193 負責人：張明