AVON: wyciekło 19 milionów rekordów. Powód – dostępny publicznie Elasticsearch z danymi prod

Ekipa SafetyDetectives donosi:

Our security team, led by Anurag Sen, discovered Avon.com’s US server without encountering any security measures or protection. The vulnerability effectively means that anyone possessing the server’s IP-address could access the company’s open database.

Co wyciekło? Generalnie chodzi o „logi API” z serwisu webowego i mobilnego (prawdopodobnie chodzi o witrynę avon.com). Co gorsza są tam też access i refresh tokeny OAuth, które dają dostęp do sesji użytkowników:

av1

av2

Jeśli chodzi o dane osobowe, to również są tam dość ciekawe informacje. Cytując badaczy mamy tu:

• Full names
• Phone numbers
• Dates of birth
• Email addresses
• Physical addresses
• GPS coordinates
• Last payment amounts
• Names of company employees (suspected but not confirmed)
• Administrator user emails

Tym razem cały zbiór miał ~7GB oraz 19 milionów rekordów.

–Michał Sajdak