Спецпроекты

Yves Rocher взломали по-крупному. Утекли данные миллионов клиентов и секретные рецепты

Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы
ИТ-партнер Yves Rocher хранил личную информацию ее клиентов в незащищенном виде – доступ к базе данных могли получить все без исключения, в том числе и конкуренты. В руки злоумышленников попали даже ингредиенты продуктов Yves Rocher.

Масштабная утечка

Компания Yves Rocher допустила утечку личных данных миллионов своих клиентов. Все сведения хранились в незашифрованном виде – их обнаружили эксперты компании vpnMentor, занимающейся вопросами информационной безопасности.

В течение какого срока конфиденциальная информация находилась в открытом доступе, специалисты не установили, но известно точное число пострадавших – 2,5 млн человек, кто хоть раз совершал заказ в Yves Rocher. Также утекли и важные корпоративные сведения компании. База данных располагалась в кластере ElasticSearch.

Личная информация пользователей

Скомпрометированные сведения принадлежат клиентам Yves Rocher, проживающим в Канаде. Конкурентам компании доступны их имена, фамилии, номера телефонов, даты рождения, а также потовые индексы и адреса электронной почты.

Yves Rocher не смогла удержать личные данные пользователей в тайне

Вместе с перечисленным база данных содержала сведения о заказах, совершенных этими людьми. В общей сложности специалистам vpnMentor удалось получить доступ к данным о 6 млн заказов, включающих в себя итоговую сумму, валюту, адрес и дату доставки. Все это располагалось на серверах консалтинговой компании Aliznet, сотрудничающей с Yves Rocher и оказывающей ей ИТ-услуги.

Корпоративные сведения

В дополнение к подробностям о клиентах Yves Rocher в базе данных обнаружилась и определенная информация корпоративного плата, которая тоже может быть интересна конкурирующим компаниям. Речь идет, в частности, о списке ингредиентов для более чем 40 тыс. продуктов, а также об их стоимости и кодах, информации о сотрудниках Yves Rocher, статистике магазинов (трафик, оборот и объемы заказов) и об идентификаторах всех сделанных заказов, по которым эксперты смогли вычислить фамилии, имена и другие данные людей, совершивших их.

yves601.jpg
API для Yves Rocher

Специалисты vpnMentor получили доступ и к API-интерфейсу для приложения, созданного Aliznet для работников Yves Rocher. Здесь, используя сведения о персонале компании из той же базы данных, они обнаружили еще больше сведений о клиентах Yves Rocher и совершенных ими покупках. Кроме того, API позволяет добавлять в базу и удалять из нее новые сведения и заодно вносить любые изменения в уже имеющиеся строки.

Возможные последствия

Cтоль крупная утечка может обернуться серьезными финансовыми потерями для Yves Rocher. В частности, все сведения могут быть использованы конкурирующими косметическими компаниями для переманивания клиентов. По данным ресурса Teiss, к базе данных также могли получить доступ мошенники, киберпреступники и компании, занимающиеся рекламой, в том числе и рассылкой спама.

В результате все 2,5 млн человек могут оказаться в опасности, поскольку даже адрес их проживания, не говоря о других не менее важных сведениях стал известен неизвестному количеству третьих лиц. К примеру, их адреса e-mail могут быть использованы дл взлома аккаунтов в социальных сетях и других сервисах, а на номера телефонов могут начать поступать нежелательные рекламные звонки и содержащие спам SMS-сообщения. Специалисты vpnMentor не исключают вероятности существования и других открытых баз данных, содержащих информацию о клиентах других компаний, которым Aliznet оказывает свои услуги. В их число входят корпорации IBM, Oracle, Salesforce, Sephora и Louboutin. На момент публикации материала Aliznet и Yves Rocher на публикацию отчета vpnMentor не отреагировали.

База данных на 2 миллиарда

В июле 2019 г. исследователи vpnMentor обнаружили в открытом доступе не менее крупную базу данных – она принадлежала разработчику решений для «умного дома» Orvibo. Он оставил в открытом доступе огромное количество данных о своих клиентах, включая пароли, геолокацию и почтовые адреса.

Сотрудники Orvibo разместили на незащищенной базе данных свыше 2 млрд логов, содержащих почтовые адреса, пароли, коды сброса паролей, точные геолокационные данные, IP-адреса, пользовательские имена и идентификаторы, а также наименования устройств, записи разговоров, сделанные через смарт-камеру и так далее. В открытом доступе оказались сведения пользователей из Китая, Японии, Таиланда, США, Мексики, Великобритании, Франции, Австралии и Бразилии, а сама база, как и в случае Yver Rocher, находилась в кластере ElasticSearch.

Потенциальным злоумышленникам достаточно поменять пароль и почтовый адрес, обнаруженные в утекшей базе данных, чтобы законный владелец потерял возможность управлять своим аккаунтом и контроль над устройствами «умного дома». Помимо этого, они смогут перехватывать видеопотоки с «умных» камер, а также удаленно открывать «умные» замки на входных дверях. При этом у них есть адреса своих жертв, что многократно повышает риск для владельцев аккаунтов быть ограбленными.



Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»

Стратегия месяца

Рынок заказной разработки ПО в России растет

Олег Баранов

управляющий партнер «Неофлекс»