Спецпроекты

Данные 2,5 миллионов клиентов Yves Rocher оказались в открытом доступе

Безопасность Стратегия безопасности Ритейл Розница Интернет

Специалисты из vpnMentor смогли получить доступ к незащищенной базе данных, содержащей информацию о 2,5 млн канадских клиентов Yves Rocher. Она содержала имена, номера телефонов, адреса электронной почты, даты рождения и почтовые индексы. Там же содержалась информация о более чем 6 млн заказов клиентов, включая сумму транзакции, использованную валюту, дату доставки и местоположение магазина. Данные в открытом виде хранились на серверах французской консалтинговой компании Aliznet, оказывающей ИТ-услуги Yves Rocher.

Также эксперты обнаружили служебные данные Yves Rocher, в том числе: статистику трафика магазина, обороты и объемы заказов, описания продуктов и ингредиенты для более чем 40 тыс. продуктов, а также цены и коды продуктов. Эта информация, по мнению руководителя аналитического центра компании Zecurion Владимира Ульянова, может быть интересна конкурентам Yves Rocher, позволяя им оценивать продажи магазина, объемы заказов и другие торговые данные.

«Каждый заказ связан с уникальным идентификатором клиента. Используя скомпрометированные данные покупателей, мы смогли идентифицировать каждого человека, разместившего заказ», — отметили исследователи.

«Как показывает практика, привлечение к работе ИТ-подрядчиков зачастую кратно увеличивает возможность компрометации данных клиентов компании. В последнее время мы уже наблюдали несколько подобных инцидентов, когда, например, гиганты вроде Apple доверяли прослушку разговоров пользователей с помощью голосового помощника аутсорсинговой компании. К хорошему это не привело. Компаниям же могу порекомендовать оперировать клиентскими данными самостоятельно и использовать современные DLP-решения для предотвращения утечек информации», — отметил Владимир Ульянов.

Также команда vpnMentor обнаружила уязвимость API, позволяющую им получить доступ к приложению, созданному для сотрудников Yves Rocher компанией Aliznet. Используя идентификаторы сотрудников, обнаруженные в результате предыдущей утечки, хакеры могли войти в систему под видом персонала компании и получить еще больше данных о клиентах и их покупках.



Технология месяца

Цифровизация электросетей реализуется преимущественно на отечественных технологиях

Игорь Маковский

генеральный директор «Россети Центр»

Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»