AVON: wyciekło 19 milionów rekordów. Powód – dostępny publicznie Elasticsearch z danymi prod

03 sierpnia 2020, 12:41 | W biegu | komentarze 4
Tagi: ,
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Ekipa SafetyDetectives donosi:

Our security team, led by Anurag Sen, discovered Avon.com’s US server without encountering any security measures or protection. The vulnerability effectively means that anyone possessing the server’s IP-address could access the company’s open database.

Co wyciekło? Generalnie chodzi o „logi API” z serwisu webowego i mobilnego (prawdopodobnie chodzi o witrynę avon.com). Co gorsza są tam też access i refresh tokeny OAuth, które dają dostęp do sesji użytkowników:

av1

av2

Jeśli chodzi o dane osobowe, to również są tam dość ciekawe informacje. Cytując badaczy mamy tu:

  • Full names
  • Phone numbers
  • Dates of birth
  • Email addresses
  • Physical addresses
  • GPS coordinates
  • Last payment amounts
  • Names of company employees (suspected but not confirmed)
  • Administrator user emails

Tym razem cały zbiór miał ~7GB oraz 19 milionów rekordów.

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Flash

    I zaraz zobaczymy MeowBot w akcji xD

    Odpowiedz
  2. sh

    „chcesz coś z Avonu?” nabiera nowego znaczenia ;)

    Odpowiedz
  3. asdsad

    Ledwie ich ktoś zaszyfrował, a tu kolejna wpadka…

    Odpowiedz
  4. Domin

    Skoro wyciekły takie dane to jaka jest pewność że nie wyciekły nr PESEL itp? Skoro Avon ma napisane w swojej polityce prywatności że takie dane przetwarzają?

    ”Przetwarzamy następujące Twoje dane osobowe:
    imię i nazwisko i inne dane kontaktowe (adres dostawy, adres e-mail, numer telefonu, PESEL, NIP – o ile dotyczy)”

    Odpowiedz

Odpowiedz