Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
AVON: wyciekło 19 milionów rekordów. Powód – dostępny publicznie Elasticsearch z danymi prod
Ekipa SafetyDetectives donosi:
Our security team, led by Anurag Sen, discovered Avon.com’s US server without encountering any security measures or protection. The vulnerability effectively means that anyone possessing the server’s IP-address could access the company’s open database.
Co wyciekło? Generalnie chodzi o „logi API” z serwisu webowego i mobilnego (prawdopodobnie chodzi o witrynę avon.com). Co gorsza są tam też access i refresh tokeny OAuth, które dają dostęp do sesji użytkowników:
Jeśli chodzi o dane osobowe, to również są tam dość ciekawe informacje. Cytując badaczy mamy tu:
- Full names
- Phone numbers
- Dates of birth
- Email addresses
- Physical addresses
- GPS coordinates
- Last payment amounts
- Names of company employees (suspected but not confirmed)
- Administrator user emails
Tym razem cały zbiór miał ~7GB oraz 19 milionów rekordów.
–Michał Sajdak
I zaraz zobaczymy MeowBot w akcji xD
„chcesz coś z Avonu?” nabiera nowego znaczenia ;)
Ledwie ich ktoś zaszyfrował, a tu kolejna wpadka…
Skoro wyciekły takie dane to jaka jest pewność że nie wyciekły nr PESEL itp? Skoro Avon ma napisane w swojej polityce prywatności że takie dane przetwarzają?
”Przetwarzamy następujące Twoje dane osobowe:
imię i nazwisko i inne dane kontaktowe (adres dostawy, adres e-mail, numer telefonu, PESEL, NIP – o ile dotyczy)”
Jak przetwarzają maile i numery telefonów to zaraz zacznie się akcja mega spamu. Kolejne adresy dla onlinera.