据2019年9月3日媒体消息,在研究人员发现一个不安全的Elasticsearch数据库后,一家法国零售咨询公司(Aliznet)承认其数百万客户的数据以及敏感的商业信息遭到泄露,这再一次警示我们:只要存储数据,就要强化数据安全。因为重视程度不够导致的 Elastic Search数据库数据泄露事件已经层出不穷。
Aliznet专门从事数字化转型,欧尚等零售领导者以及Yves Rocher和Lacoste等大品牌都是其服务客户。然而,来自vpnMentor的研究人员能够访问包含250万加拿大Yves Rocher客户数据的私人Aliznet数据库。这包括姓名,电话号码,电子邮件地址,出生日期和邮政编码。
他们还在数据库中发现了600多万个客户订单,包括交易金额,使用的货币,交货日期和商店位置。
“每个订单也与唯一的客户ID相关联。使用泄露的Yves Rocher客户记录,我们能够识别通过客户ID下订单的个人,“研究人员解释说。
除了这些敏感的客户个人身份信息(PII)外,vpnMentor还发现了内部Yves Rocher数据,包括:商店流量,营业额和订单量的统计数据,超过40,000种产品的产品描述和成分,以及产品价格和报价代码。
研究团队声称,这些信息可能是Yves Rocher竞争对手的重要资产,使他们可以估算商店销售,订单量和其他交易数据。“暴露的数据库还为竞争对手提供了Yves Rocher的加拿大客户名单,包括他们的姓名,年龄,联系信息和订单历史,”
“竞争性化妆品和美容公司可以利用这些信息创建针对Yves Rocher客户的高效广告活动。这可能导致Yves Rocher失去竞争对手的客户。“
vpnMentor团队还发现了一个API漏洞,允许他们访问由Aliznet为Yves Rocher员工构建的应用程序。vpnMentor声称,使用以前详细泄漏中暴露的员工ID,黑客可以登录Yves Rocher员工获取更多有关业务及其客户的数据,甚至可以添加,删除或修改公司数据库中的数据。
增强数据库安全,请参阅《数据安全警示录》一书,签售进行中。
