行业新闻与博客

全球化妆品品牌雅芳（Avon）最近配置错误的云服务器被发现泄漏了 1900 万条记录，其中包括个人信息和技术日志。

由 Anurag Sen 领导的 SafetyDetectives 的研究人员告诉 Infosecurity，他们发现 Azure 服务器上的 Elasticsearch 数据库是公开公开的，没有密码保护或加密。

它在随后的一份报告中解释说：“该漏洞实际上意味着拥有服务器 IP 地址的任何人都可以访问公司的开放数据库。”

这家总部位于伦敦的公司在全球范围内的年销售额超过 55 亿美元，显然在 7月的 7GB 数据库于 6月12日被发现之前已经暴露了 9 天。

它包含有关客户和潜在员工的个人身份信息（PII），包括全名，电话号码，生日，电子邮件和家庭住址以及 GPS 坐标。此次检查还包括 40,000 多个安全令牌，OAuth 令牌，内部日志，帐户设置和技术服务器信息。

根据 SafetyDetectives 的说法，虽然可以利用 PII 进行各种各样的身份欺诈和后续的网络钓鱼诈骗，但暴露的技术细节也给雅芳带来了风险。

“鉴于提供的敏感信息的类型和数量，黑客将能够建立完全的服务器控制权并采取严重破坏性的行动，这些行动永久性地损害了雅芳品牌；即勒索软件攻击并使公司的支付基础设施瘫痪。”

有趣的是，6月9日向美国证券交易委员会提交的文件显示，该公司“在其信息技术环境中发生了网络事件，该事件中断了某些系统并部分影响了运营”。

一个 6月12日第二次申请声称，该公司正计划其系统重新启动。

它继续说：“雅芳正在继续调查以确定事件的程度，包括潜在的泄露的个人数据。” “尽管如此，由于它的主要电子商务网站未存储该信息，因此目前尚无法预料信用卡详细信息会受到影响。”

目前尚不清楚事件是否链接到此公开的云服务器。

本文由机器译制