信息化觀察網(wǎng)

全球化妝品巨頭雅芳（Avon）最近因云服務器配置錯誤泄漏了1900萬條記錄，其中包括個人信息和技術日志。

SafetyDetectives的研究人員發(fā)現(xiàn)雅芳在Azure服務器上的Elasticsearch數(shù)據(jù)庫公開暴露，且沒有密碼保護或加密。

SafetyDetectives在隨后的一份報告中解釋說：“該漏洞實際上意味著擁有服務器IP地址的任何人都可以訪問公司的開放數(shù)據(jù)庫。”

總部位于倫敦的雅芳公司在全球范圍內(nèi)的年銷售額超過55億美元，此次暴露的7GB數(shù)據(jù)于6月12日被安全公司發(fā)現(xiàn)之前已經(jīng)暴露了9天。

暴露的數(shù)據(jù)庫包含有關客戶和員工的個人身份信息（PII），包括全名、電話號碼、生日、電子郵件和家庭住址以及GPS坐標。此外包括40,000多個安全令牌、OAuth令牌、內(nèi)部日志、賬戶設置和技術服務器信息。

根據(jù)SafetyDetectives的說法，雖然可以利用PII進行各種各樣的身份欺詐和后續(xù)的網(wǎng)絡釣魚詐騙，但暴露的技術細節(jié)也給雅芳自身帶來了風險。

“鑒于提供的敏感信息的類型和數(shù)量，黑客將能夠掌握完全的服務器控制權并實施嚴重破壞性的行動，這些行動能永久性地損害雅芳品牌，暴露勒索軟件攻擊并使公司的支付基礎設施癱瘓。”

有趣的是，6月9日向美國證券交易委員會提交的文件顯示，雅芳提及“在其信息技術環(huán)境中發(fā)生了網(wǎng)絡事件，該事件中斷了某些系統(tǒng)并部分影響了運營”。

雅芳在6月12日的第二次申明中指出，該公司正計劃重啟系統(tǒng)。

SafetyDetectives透露：“雅芳正在繼續(xù)調(diào)查以確定事件的程度，包括潛在的泄露的個人數(shù)據(jù)。”“盡管如此，由于它的主要電子商務網(wǎng)站未存儲該信息，因此目前尚無法預料信用卡詳細信息會受到影響。”