化妝品巨頭雅芳遭遇數據泄露，1900 萬條數據記錄已暴露 9 天

全球化妝品巨頭雅芳（Avon）最近因云服務器配置錯誤泄漏了1900萬條記錄，其中包括個人信息和技術日志。

SafetyDetectives的研究人員發現雅芳在Azure服務器上的Elasticsearch數據庫公開暴露，且沒有密碼保護或加密。

SafetyDetectives在隨后的一份報告中解釋說：“該漏洞實際上意味著擁有服務器IP地址的任何人都可以訪問公司的開放數據庫。”

總部位于倫敦的雅芳公司在全球范圍內的年銷售額超過55億美元，此次暴露的7GB數據于6月12日被安全公司發現之前已經暴露了9天。

暴露的數據庫包含有關客戶和員工的個人身份信息（PII），包括全名、電話號碼、生日、電子郵件和家庭住址以及GPS坐標。此外包括40,000多個安全令牌、OAuth令牌、內部日志、賬戶設置和技術服務器信息。

根據SafetyDetectives的說法，雖然可以利用PII進行各種各樣的身份欺詐和后續的網絡釣魚詐騙，但暴露的技術細節也給雅芳自身帶來了風險。

“鑒于提供的敏感信息的類型和數量，黑客將能夠掌握完全的服務器控制權并實施嚴重破壞性的行動，這些行動能永久性地損害雅芳品牌，暴露勒索軟件攻擊并使公司的支付基礎設施癱瘓。”

有趣的是，6月9日向美國證券交易委員會提交的文件顯示，雅芳提及“在其信息技術環境中發生了網絡事件，該事件中斷了某些系統并部分影響了運營”。

雅芳在6月12日的第二次申明中指出，該公司正計劃重啟系統。

SafetyDetectives透露：“雅芳正在繼續調查以確定事件的程度，包括潛在的泄露的個人數據。”“盡管如此，由于它的主要電子商務網站未存儲該信息，因此目前尚無法預料信用卡詳細信息會受到影響。”