Деятельность злоумышленников затрагивает не только крупные технологические компании, банковские учреждения или правительственные организации. На этот раз специалисты по безопасности веб-приложений сообщили о нарушении данных в стороннем сервисе, которое привело к утечке данных миллионов клиентов крупной французской косметической компании Yves Rocher.
Инцидент произошел из-за недостатков в конфигурации базы данных технической компании Alzinet, специализирующейся на цифровом преобразовании, которая, помимо Yves Rocher, работает и в других крупных компаниях, таких как Lacoste.Группе экспертов по безопасности веб-приложений из фирмы vpnMentor удалось получить доступ к одной из конфиденциальных баз данных компании, где хранились записи о примерно 2,5 миллиона клиентов Yves Rocher в Канаде. Среди данных, попавших в третьи руки, информация о имени и фамилии клиентов, даты рождения, телефонные номера и адреса электронной почты. В дополнение к этим персональным данным, исследователи получили доступ к записям более шести миллионов операционных данных компании, включая сумму заказа, валюту, использованную для оплаты, даты доставки и местоположение магазина, в который были размещены заказы на покупку.
Эксперты также обнаружили, что каждый заказ связан с уникальным ключом идентификации клиента: «Сравнивая записи клиентов компании с заказами на покупку, можно было определить, какие пользователи разместили каждый заказ». Взлом данных не только раскрывает информацию от клиентов компании. В своем отчете эксперты отмечают, что в базе данных также хранятся данные об операциях Yves Rocher, в том числе показатели трафика пользователей в некоторых филиалах, объемы продаж и заказов, сведения о некоторых продуктах, данные о сырье и коды продаж.
По мнению специалистов из Международного института кибербезопасности, утечка информации о внутренних операциях компании может вызывать большой интерес у ее конкурентов, поэтому раскрытие этой базы данных является действительно серьёзной проблемой для всех сторон: «Если другие компании получат доступ к этой информации, у них будут ресурсы для развертывания маркетинговых кампаний, специально предназначенных для клиентов Yves Rocher, в результате чего компания рискует потерять значительную часть своих клиентов по всему миру».
Это не первый случай, когда косметическая компания сталкивается с подобным инцидентом. Несколько недель назад тысячи клиентов на территории Азии французской компании Sephora начали получать уведомление от компании, в котором сообщалось, что из одной базы данных компании просочился большой объем информации. Sephora попросила клиентов сбросить свои пароли, а также предложила услуги по мониторингу информации для предотвращения злонамеренного использования данных.
Источник: Personal data of 2.5 million customers leaked: Yves Rocher suffers serious data breach
Тэги: Yves Rocher цифровые технологии
