O scurgere de date la Avon Cosmetics a dus la compromiterea a 7 GB de informații personale și tehnice dintr-un server nesecurizat

Luna trecută, cercetătorii de la SafetyDetectives au descoperit o bază de date nesecurizată aparținând cunoscutei companii de produse cosmetice Avon. Serverul, care nu dispunea nici măcar de măsurile de siguranță de bază, a putut fi accesat cu ușurință de către cercetători, care au găsit o adevărată comoară ce consta din 19 milioane de înregistrări, inclusiv informații cu caracter personal ale angajaților și date tehnice despre site-ul web.
Deși această știre poate părea neimportantă în primă instanță, dezvăluirea breșei de securitate a datelor a venit ca urmare a depunerii raportului obligatoriu de către companie la 9 iunie, când aceasta a confirmat un incident de securitate care a „întrerupt funcționarea unor sisteme și a afectat parțial operațiunile”.
La 12 iunie, Avon Products a înaintat un nou raport obligatoriu în care a declarat că, „după ce a avut loc incidentul de securitate cibernetică despre care s-a comunicat la 9 iunie 2020”, compania „intenționează să repornească unele dintre sistemele compromise pe piețele afectate în decursul săptămânii viitoare”.
„Avon continuă ancheta pentru a determina care este amploarea incidentului, inclusiv potențialele date cu caracter personal compromise”, se menționează în raport. „Cu toate acestea, în acest moment, compania nu se așteaptă să fi fost afectate date ale cardurilor bancare, deoarece site-ul web principal de e-commerce al companiei nu stochează acest tip de informații.”
Într-un al treilea raport de actualizare, compania a declarat că „a restabilit majoritatea sistemelor de operare și a reluat operațiunile pe majoritatea piețelor, inclusiv în majoritatea centrelor sale de distribuție”.
SafetyDetectives speculează faptul că aceste declarații nu au legătură cu breșa de securitate descoperită de echipa lor.
Conform raportului investigatorului publicat la 28 iulie, serverul neprotejat Avon.com conținea jurnale API atât pentru site-ul web, cât și pentru site-ul pentru mobil, ceea ce înseamnă că toate informațiile de pe serverul de producție, împreună cu tokenurile de autentificare și Oauth, au fost expuse.
Baza de date conținea peste 7 GB de date, cum ar fi informații cu caracter personal și informații tehnice non-personale:

• Nume, numere de telefon, date de naștere și adrese fizice
• Adrese de e-mail, coordonate GPS, ultimele sume plătite
• Numele angajaților companiei (neconfirmat)
• Adresele de e-mail ale conturilor de utilizator cu drepturi de administrator
• Peste 40.000 de tokenuri de securitate
• Tokenuri OAuth și jurnale interne
• Setările de cont și informațiile de pe server

În plus, datele compromise conțineau informații cu caracter sensibil, cum ar fi coduri PIN trimise prin SMS. Jurnalele interne compromise ar putea fi utilizate pentru a ataca infrastructura IT a companiei Avon.
„Atacatorii ar putea utiliza serverul pentru a mina criptomonedă, instala malware sau desfășura atacuri ransomware care să vizeze deținătorii serverului”, au adăugat cercetătorii.
Cu toate că nu există suficiente dovezi care să stabilească o legătură între incidentul inițial de securitate raportat de Avon și această breșă de securitate, ar trebui luate măsuri de precauție.
Angajații și clienții companiei Avon ar trebui să își verifice conturile online și să își reseteze parolele. Deși compania a securizat serverul compromis, posibilitatea de accesare în scop rău intenționat a bazei de date publice nu poate fi exclusă.
Ca mențiune rapidă, compania Natura & Co Cosmetics din Brazilia, care a obținut 76% dintre acțiunile Avon, a suferit un incident de securitate asemănător în aprilie 2020, când s-a descoperit că datele cu caracter personal care permit identificarea persoanelor vizate (PII) de la peste 190 de milioane de clienți erau complet neprotejate pe două servere Amazon din SUA. Totuși, spre deosebire de scurgerea de date de la Avon, serverele companiei Natura conțineau detalii de plată de la 40.000 de cumpărători.