Специалисты vpnMentor получили доступ и к API-интерфейсу для приложения, созданного Aliznet для работников Yves Rocher. Здесь, используя сведения о персонале компании из той же базы данных, они обнаружили ещё больше сведений о клиентах Yves Rocher и совершенных ими покупках. Кроме того, API позволяет добавлять в базу и удалять из неё новые сведения и заодно вносить любые изменения в уже имеющиеся строки.

Возможные последствия

Cтоль крупная утечка может обернуться серьёзными финансовыми потерями для Yves Rocher. В частности, все сведения могут быть использованы конкурирующими косметическими компаниями для переманивания клиентов. По данным ресурса Teiss, к базе данных также могли получить доступ мошенники, киберпреступники и компании, занимающиеся рекламой, в том числе и рассылкой спама.

В результате все 2,5 млн человек могут оказаться в опасности, поскольку даже адрес их проживания, не говоря о других не менее важных сведениях стал известен неизвестному количеству третьих лиц. К примеру, их адреса e-mail могут быть использованы дл взлома аккаунтов в социальных сетях и других сервисах, а на номера телефонов могут начать поступать нежелательные рекламные звонки и содержащие спам SMS-сообщения. Специалисты vpnMentor не исключают вероятности существования и других открытых баз данных, содержащих информацию о клиентах других компаний, которым Aliznet оказывает свои услуги. В их число входят корпорации IBM, Oracle, Salesforce, Sephora и Louboutin. На момент публикации материала Aliznet и Yves Rocher на публикацию отчета vpnMentor не отреагировали.

Life.Ru, 02.09.2019, 04.09.2019, "Данные более 2,5 млн клиентов Yves Rocher оказались в открытом доступе": Также в открытом доступе оказались служебные данные косметической компании: статистика трафика магазина, объёмы заказов, описания и цены товаров, а также ингредиенты для более чем 40 тысяч продуктов.

— Как показывает практика, привлечение к работе ИТ-подрядчиков зачастую кратно увеличивает возможность компрометации данных клиентов компании. Компаниям же могу порекомендовать оперировать клиентскими данными самостоятельно и использовать современные DLP-решения для предотвращения утечек информации, — прокомментировал Лайфу инцидент руководитель аналитического центра компании Zecurion Владимир Ульянов.

Специалист отмечает, что подобная информация интересна конкурентам фирмы. Она позволит оценить торговые обороты Yves Rocher. — Врезка К.ру

База данных на 2 миллиарда

В июле 2019 г. исследователи vpnMentor обнаружили в открытом доступе не менее крупную базу данных — она принадлежала разработчику решений для «умного дома» Orvibo. Он оставил в открытом доступе огромное количество данных о своих клиентах, включая пароли, геолокацию и почтовые адреса.

Сотрудники Orvibo разместили на незащищенной базе данных свыше 2 млрд логов, содержащих почтовые адреса, пароли, коды сброса паролей, точные геолокационные данные, IP-адреса, пользовательские имена и идентификаторы, а также наименования устройств, записи разговоров, сделанные через смарт-камеру и так далее. В открытом доступе оказались сведения пользователей из Китая, Японии, Таиланда, США, Мексики, Великобритании, Франции, Австралии и Бразилии, а сама база, как и в случае Yver Rocher, находилась в кластере ElasticSearch.

Потенциальным злоумышленникам достаточно поменять пароль и почтовый адрес, обнаруженные в утекшей базе данных, чтобы законный владелец потерял возможность управлять своим аккаунтом и контроль над устройствами «умного дома». Помимо этого, они смогут перехватывать видеопотоки с «умных» камер, а также удалённо открывать «умные» замки на входных дверях. При этом у них есть адреса своих жертв, что многократно повышает риск для владельцев аккаунтов быть ограбленными.