Компромат.Ru ®

Читают с 1999 года

Весь сор в одной избе

Библиотека компромата

"Утекли" данные 2,5 млн клиентов из Канады, трафик и обороты магазинов, составы более чем 40 тысяч продуктов косметологической компании

Оригинал этого материала
© CNews, 04.09.2019, Иллюстрация: vpnmentor.com

Yves Rocher взломали по-крупному

Эльяс Касми

ИТ-партнер Yves Rocher хранил личную информацию ее клиентов в незащищенном виде — доступ к базе данных могли получить все без исключения, в том числе и конкуренты. В руки злоумышленников попали даже ингредиенты продуктов Yves Rocher.

Масштабная утечка

Компания Yves Rocher допустила утечку личных данных миллионов своих клиентов. Все сведения хранились в незашифрованном виде — их обнаружили эксперты компании vpnMentor, занимающейся вопросами информационной безопасности.

В течение какого срока конфиденциальная информация находилась в открытом доступе, специалисты не установили, но известно точное число пострадавших — 2,5 млн человек, кто хоть раз совершал заказ в Yves Rocher. Также утекли и важные корпоративные сведения компании. База данных располагалась в кластере ElasticSearch.

Личная информация пользователей

Скомпрометированные сведения принадлежат клиентам Yves Rocher, проживающим в Канаде. Конкурентам компании доступны их имена, фамилии, номера телефонов, даты рождения, а также потовые индексы и адреса электронной почты.

Вместе с перечисленным база данных содержала сведения о заказах, совершенных этими людьми. В общей сложности специалистам vpnMentor удалось получить доступ к данным о 6 млн заказов, включающих в себя итоговую сумму, валюту, адрес и дату доставки. Все это располагалось на серверах консалтинговой компании Aliznet, сотрудничающей с Yves Rocher и оказывающей ей ИТ-услуги.

Корпоративные сведения

В дополнение к подробностям о клиентах Yves Rocher в базе данных обнаружилась и определенная информация корпоративного плата, которая тоже может быть интересна конкурирующим компаниям. Речь идет, в частности, о списке ингредиентов для более чем 40 тыс. продуктов, а также об их стоимости и кодах, информации о сотрудниках Yves Rocher, статистике магазинов (трафик, оборот и объемы заказов) и об идентификаторах всех сделанных заказов, по которым эксперты смогли вычислить фамилии, имена и другие данные людей, совершивших их.

API для Yves Rocher
API для Yves Rocher
Специалисты vpnMentor получили доступ и к API-интерфейсу для приложения, созданного Aliznet для работников Yves Rocher. Здесь, используя сведения о персонале компании из той же базы данных, они обнаружили еще больше сведений о клиентах Yves Rocher и совершенных ими покупках. Кроме того, API позволяет добавлять в базу и удалять из нее новые сведения и заодно вносить любые изменения в уже имеющиеся строки.

Возможные последствия

Cтоль крупная утечка может обернуться серьезными финансовыми потерями для Yves Rocher. В частности, все сведения могут быть использованы конкурирующими косметическими компаниями для переманивания клиентов. По данным ресурса Teiss, к базе данных также могли получить доступ мошенники, киберпреступники и компании, занимающиеся рекламой, в том числе и рассылкой спама.

В результате все 2,5 млн человек могут оказаться в опасности, поскольку даже адрес их проживания, не говоря о других не менее важных сведениях стал известен неизвестному количеству третьих лиц. К примеру, их адреса e-mail могут быть использованы дл взлома аккаунтов в социальных сетях и других сервисах, а на номера телефонов могут начать поступать нежелательные рекламные звонки и содержащие спам SMS-сообщения. Специалисты vpnMentor не исключают вероятности существования и других открытых баз данных, содержащих информацию о клиентах других компаний, которым Aliznet оказывает свои услуги. В их число входят корпорации IBM, Oracle, Salesforce, Sephora и Louboutin. На момент публикации материала Aliznet и Yves Rocher на публикацию отчета vpnMentor не отреагировали.

Life.Ru, 02.09.2019, 04.09.2019, "Данные более 2,5 млн клиентов Yves Rocher оказались в открытом доступе": Также в открытом доступе оказались служебные данные косметической компании: статистика трафика магазина, объёмы заказов, описания и цены товаров, а также ингредиенты для более чем 40 тысяч продуктов.

— Как показывает практика, привлечение к работе ИТ-подрядчиков зачастую кратно увеличивает возможность компрометации данных клиентов компании. Компаниям же могу порекомендовать оперировать клиентскими данными самостоятельно и использовать современные DLP-решения для предотвращения утечек информации, — прокомментировал Лайфу инцидент руководитель аналитического центра компании Zecurion Владимир Ульянов.

Специалист отмечает, что подобная информация интересна конкурентам фирмы. Она позволит оценить торговые обороты Yves Rocher. — Врезка К.ру

База данных на 2 миллиарда

В июле 2019 г. исследователи vpnMentor обнаружили в открытом доступе не менее крупную базу данных — она принадлежала разработчику решений для «умного дома» Orvibo. Он оставил в открытом доступе огромное количество данных о своих клиентах, включая пароли, геолокацию и почтовые адреса.

Сотрудники Orvibo разместили на незащищенной базе данных свыше 2 млрд логов, содержащих почтовые адреса, пароли, коды сброса паролей, точные геолокационные данные, IP-адреса, пользовательские имена и идентификаторы, а также наименования устройств, записи разговоров, сделанные через смарт-камеру и так далее. В открытом доступе оказались сведения пользователей из Китая, Японии, Таиланда, США, Мексики, Великобритании, Франции, Австралии и Бразилии, а сама база, как и в случае Yver Rocher, находилась в кластере ElasticSearch.

Потенциальным злоумышленникам достаточно поменять пароль и почтовый адрес, обнаруженные в утекшей базе данных, чтобы законный владелец потерял возможность управлять своим аккаунтом и контроль над устройствами «умного дома». Помимо этого, они смогут перехватывать видеопотоки с «умных» камер, а также удаленно открывать «умные» замки на входных дверях. При этом у них есть адреса своих жертв, что многократно повышает риск для владельцев аккаунтов быть ограбленными.

Другие материалы раздела:
Паутина для доверчивых
📁 Фильтрация Компромaт.Ру +
📁 Дубик всеблокирующий =>
📁 Кремль атакует Рунет +
Yota стала цензором
ГосНетКонтроль
📁 Охота на экстремизм в Сети +
📁 Ответственность за коммент. +
Ответственность за ссылку
Виртуальные бандиты
Вредоносы-вымогатели
Кибер-империя зла
Топ разыскиваемых ФБР хакеров
Как отбиться от хакера
Классификатор "русских хакеров"
Особенности национального хака
Порно, спам и пиратская музыка
Экономика инет-мошенничества
Схема финансовой кибер-ОПГ
"Черные списки" в Интернете
Основы информационной войны
📁 Сурковская сеть +
Спам-канализация "ЕдРа"
📁 DDoS-атаки в ПолитРунете +
Призма Володина
Полит- и бизнес-пиар в ЖЖ
"Черный пиар" в соцсетях
Потребители политинфы в ЖЖ
Тысячников поймали на заказухе
Rexona опиарилась в блогах
📁 Тролли в Рунете +
Политические форумы Рунета
📁 Сайты власти +
📁 Доменная зона РФ +
Как регулируются домены в СНГ
Эл. почта без тайны связи
Твит-цензура на Универсиаде
Скупка доменов-однофамильцев
Давидович растерял домены
Суд запретил YouTube
YouTube запрещен без суда
Атака на сайт президента РФ
📁 Угрозы Матвиенко =>
📁 Дело сайта "УфаГубЪ" +
📁 "Ковровский форум" +
Дело "Костромских Джедаев"
Обидно.Ру
Экстремизм на "Самиздате"
Экстремисты на форуме Ура.ру
Запрос IP за комменты на Ура.ру
Дело "Вятского наблюдателя"
Dead-Moros - клеветник
📁 Дело Терентьева (Коми) +
📁 Алкснис против ЖЖиста +
Приговор блогеру Кирилину
Компьютер блогера уничтожить
Условный срок за песню
Каганова лишили сайта
В Сети поймали русофоба
Из зоны .ru на зону
Тройка-сталь vs Мегасофта
Интернет как улика
Бизнес по Фрейду
Дрочеры напрокат
Рекламный фальш-трафик
Технология "порнонакрутки"
Порнотехнологии от BMW
Закрытая "статистика"
Весь Рунет делал "ЭТО"
Шантаж политиков
Министрам сделали и-нет
Власть качает фильмы и порно
В интернете разрешили порно
Порностудии "грабят" пиратов
Лужков о "пауках из интернета"
Москва отказывается от сайтов
Фашистский сайт антифашистов
Нацисты атакуют Интернет
Аморальная история
📁 Адагамов (drugoi) педофил +
Андреев и Badoo
Абдулнасыров и Lingualeo
Вербицкий и "дело о бороде"
📁 Белоусов vs Рябыко +
📁 Волож и Yandex.Ru +
📁 Гельман Марат =>
📁 Греков Ярослав (Моська) +
📁 Дуров и "ВКонтакте" +
Енцов и "Литмир"
📁 Карачинский Анатолий =>
Клименко и торренты Torrnado
📁 Олег Куваев и Масяня +
📁 Лебедев Артемий +
📁 Мамут и Афиша-Рамблер-SUP +
Можаев Дмитрий и "2Sun"
Интернет-омбудсмен Мариничев
📁 Носик Антон +
📁 Павловский Глеб =>
Попков и "Однокласники"
📁 Рыков Константин (Форис) +
📁 Огородникова взяли за взятку +
Себрант Андрей
📁 Шилов и AT Consulting +
Экслер Алекс
📁 Криминальные услуги Auto.Ru +
Схема с фейковыми сайтами
Сайт о Балаковской АЭС
Продажный рейтинг "Банкир. Ру"
Cyberplat торгует детским порно
📁 Газета.Ру +
Подтасовки от Газеты и Ленты
📁 Блокировка Ингушетия.Ру +
"Комстару" закон не писан
📁 Лента.Ру +
Макхост: упали 25 тыс. сайтов
📁 "Саспенды" в Livejournal.com +
Утечка базы Mamba.ru.
📁 Mail.Ru (Port.Ru).Три жизни +
📁 "Новый фокус" конфисковали +
Черный пиар "Озоновой дыры"
📁 "РБК" +
Русские зомби-машины RBN
📁 RLE.Ru.Взлом конкурента +
РТКОММ vs .masterhost
📁 Ru-Center - киберсквотер +
Заразный сайт "Собеседника"
SpyLog.Двойные стандарты
📁 Пираты из ФЛБ +
📁 Трест "Рунет" +
Партии идут www
Партийная паутина
Мультики про это
Проститутки на putin2000.ru
Провайдерские войны
"Дело Плещука". RBS
"Дело Серебряного". DirecTV
📁 "Дело Левина". Ситибанк +
Убийство Сухомлина (Чечня.Ру)
Опустить конкурента на форумах
Рейтинг исков о защите дел. репут.
Смерть главного спамера
📁 Аникеев и "Шалтай-Болтай" +
Группа "Али Баба и 4"
📁 Богачев и GameOver Zeus +
Ваулин и KickassTorrents
📁 Винник и BTC +
Потрошитель корп.счетов Глотов
📁 Игорь Гусев и Glavmed +
Золотарев, Лопатин и Carder.su
📁 Врублевский и Chronopay +
Капканов и сеть "Avalanche"
Китуашвили и Смотра.ру
Козловский, Еремин и Lurk
📁 Спамер-педофил Л.Куваев +
Спамер Николаенко и Mega-D
Спамер Левашов (Severa) и Kelihos
📁 "Троян" Никиты Кузьмина +
Медведев и группа Infraud
"Троян" SpyEye Панина
Банковские боты Покорских
Сутенер Энди Рубин
📁 Похититель карт Селезнев +
📁 Смилянец и похитители карт +
Фомченков, эл.бабки и госизмена
Приговор Фомченкову - 7 лет
Хорохорин и CarderPlanet
Хакер Хэлл - Максимов
📁 Цукерберг и Facebook +
📁 Союз хакеров и трейдеров +
📁 Сайт адюльтера AshleyMadison +
Файлообменник EX.ua
📁 Торрент-трекер Interfilm.ru +
📁 "Отмывочная" Liberty Reserve +
Криминальный Megaupload.com
Сайт RusLeaks.com
Грег Блатт и Tinder
Анонимусы взломали Stratfor
Алекс Джонс и InfoWars.com
📁 Продажная Wikipedia +
Фемида судит по "Википедии"
📁 Компромат-сайт Wikileaks.org +
📁 Sony хакнули за Ким Чен Ына +
📁 Майер и Yahoo +
Утечка из Yves Rocher
Liberation:задержан за коммент
ЕСПЧ наказал СМИ за комменты
📁 "Право быть забытым" +
Хостеры пиратам не подельники
📁 Интернет и "большой брат" +
Кто за кем следит
Shodan: охота за устройствами
📁 Трэвис Каланик и Uber +
Секс-шалости "звезд". Фото
"Hackerazzi" дали 10 лет
Рынок взломанных аккаунтов
Рынок копий паспортов
Рынок "цифровых личностей"
Утечка данных избирателей США
Записная книжка Пэрис Хилтон
📁 Яндекс нашел блядей в СПС =>
📁 Дело Kavkaz.org живет =>
Сеть из 70 тыс. педофилов
📁 "Пират Робертс" и Silk Road +
"Покерная пирамида" Full Tilt
Эпплбаум и Tor Project
Торговля ботами в США
Twitter подсматривает за членами
Интернет-табу для школьников
Порно-облава на 136 сайтов
Коноплю выкуривают из паблика
Наркорынок в русском даркнете
Блокировка записи о блокировке
Блокировка офшорных доменов
Блокировка приложений
📁 Блокировка анонимайзеров +
Блокировка за колбасу
Блокировка пустоты
Штрафы за "обратную связь"

Знаком '+' отмечены подразделы,
а '=>' - ссылки между разделами.

Drudge Report Рейтинг@Mail.ru

Compromat.Ru ® — зарегистрированный товарный знак. Св. №319929. 18+. info@compromat.ru