1月30日，安全研究員Jeremiah Fowler在網(wǎng)上發(fā)現(xiàn)了一個(gè)數(shù)據(jù)庫，其中包含 “大量記錄”。這個(gè)在網(wǎng)上公開的數(shù)據(jù)庫沒有密碼保護(hù)，總共包含440,336,852條記錄，連接到總部位于紐約的化妝品巨頭雅詩蘭黛。

雅詩蘭黛是一家美國跨國公司，生產(chǎn)高檔護(hù)膚、化妝品、香水和護(hù)發(fā)產(chǎn)品，并擁有多個(gè)品牌、并通過數(shù)字商務(wù)和零售渠道在全球范圍內(nèi)分銷。

Fowler說：“該數(shù)據(jù)庫似乎是一個(gè)內(nèi)容管理系統(tǒng)，其中包含從網(wǎng)絡(luò)的工作方式到內(nèi)部文檔的參考、銷售矩陣數(shù)據(jù)等等的所有內(nèi)容。一看到電子郵件地址，我驗(yàn)證電子郵件是真實(shí)可用的，隨后立即與雅詩蘭黛聯(lián)系。”

之后，該公司對此發(fā)表聲明：

“2020年1月30日，我們發(fā)現(xiàn)可以通過互聯(lián)網(wǎng)臨時(shí)訪問一個(gè)教育平臺的部分非客戶電子郵件地址。這個(gè)教育平臺不是面向客戶的，也不包含客戶數(shù)據(jù)。我們沒有發(fā)現(xiàn)未經(jīng)授權(quán)臨時(shí)訪問數(shù)據(jù)庫的情況。雅詩蘭黛公司非常重視數(shù)據(jù)隱私和安全性。我們一發(fā)現(xiàn)便立即采取行動以保護(hù)數(shù)據(jù)，并通知有關(guān)各方。”

雅詩蘭黛快速關(guān)閉對數(shù)據(jù)庫的訪問

隨后雅詩蘭黛立即關(guān)閉了對該數(shù)據(jù)庫的訪問通道，對數(shù)據(jù)進(jìn)行保護(hù)。

Fowler補(bǔ)充說，當(dāng)時(shí)尚不清楚數(shù)據(jù)庫中公開了多少個(gè)電子郵件地址，以及在線公開了多長時(shí)間的數(shù)據(jù)。此外，還不清楚的是第三方（包括威脅行為者）是否訪問了數(shù)據(jù)。

公開的數(shù)據(jù)庫記錄不包含付款數(shù)據(jù)或敏感的員工信息，數(shù)據(jù)庫泄露的其他數(shù)據(jù)則包括：

以純文本格式存儲的用戶電子郵件，包括來自@ estee.com域的內(nèi)部電子郵件地址；

內(nèi)部大量IT日志，包括生產(chǎn)、審核、錯(cuò)誤、內(nèi)容管理系統(tǒng)和中間件報(bào)告；

參考報(bào)告和其他內(nèi)部文件；

對公司內(nèi)部使用的IP地址，端口、路徑和存儲的引用。

數(shù)據(jù)泄露后存在的風(fēng)險(xiǎn)

KnowBe4的安全意識倡導(dǎo)者Erich Kron通過電子郵件說：“這或許是一個(gè)簡單的配置錯(cuò)誤，例如，在共享驅(qū)動器或數(shù)據(jù)庫上設(shè)置權(quán)限，因而造成的數(shù)據(jù)泄露。” 

此外，F(xiàn)owler還警告說，“雅詩蘭黛公司使用了數(shù)以百萬計(jì)的中間件記錄。中間件是一種在操作系統(tǒng)提供的功能之外為應(yīng)用程序提供通用服務(wù)和功能的軟件。數(shù)據(jù)管理，應(yīng)用程序服務(wù)，消息傳遞，身份驗(yàn)證和API管理通常都由中間件處理。”

“這種數(shù)據(jù)泄露的另一個(gè)潛在風(fēng)險(xiǎn)，即中間件可以為惡意軟件創(chuàng)建輔助路徑，從而可以破壞應(yīng)用程序和數(shù)據(jù)。在這種情況下，任何連網(wǎng)的用戶都可以查看到目標(biāo)系統(tǒng)版本或軟件版本，路徑地址以及其他可以作為網(wǎng)絡(luò)后門所使用的數(shù)據(jù)。”

因此，廣大雅詩蘭黛的客戶應(yīng)保持警惕，以防犯罪分子進(jìn)行電子郵件網(wǎng)絡(luò)釣魚。

來源：Freebuf

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:

如涉及侵權(quán)，請及時(shí)與我們聯(lián)系，我們會在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明