19 milioni di dati pubblici
Avon Products, Inc. è di proprietà della società brasiliana Natura & Co. che a sua volta ha fatto trapelare oltre 192 milioni di record nel maggio 2020.
I ricercatori della sicurezza informatica di SafetyDetectives' guidati da Anurag Sen hanno scoperto un database cloud mal configurato contenente i dati della popolare marca di cosmetici Avon. Il server non protetto ha fatto trapelare finora 19 milioni di record, che includono dati personali e registri tecnici.
Avon è di proprietà della società brasiliana Natura & Co., che ha acquisito la sua quota del 78% nel gennaio 2020. È interessante notare che,, la stessa Natura è stata coinvolta in una controversia sulla fuga di dati nel maggio 2020 dopo che un database non protetto di ElasticSearch è stato scoperto sul server Azure che ha portato all'esposizione di oltre 192 milioni di record.
Uno dei database dell'epoca conteneva 1,3 TB di dati, mentre l'altro aveva circa 27 GB di dati esclusivi.
Nel maggio 2020, è stata SafetyDetective a scoprire il database di ElasticSearch già a maggio, e anche questa volta è lo stesso team a riferire della fuga di dati Avon.
Nel loro post sul blog, i ricercatori hanno menzionato che il server del sito web americano di Avon non era protetto da alcuna misura di sicurezza, ed è per questo che sono stati in grado di accedervi facilmente. Ciò significa che la vulnerabilità può permettere a chiunque abbia l'indirizzo IP del server di accedere al database aperto di Avon.com.
Il server ha memorizzato i log API dei siti web e dei siti mobili dell'azienda; pertanto, tutti i dati relativi alla produzione, compresi oltre 40.000 token interni OAuth, sono stati esposti dopo la violazione.
I token OAuth, proprio come i token di accesso, vengono utilizzati per l'iscrizione, ma scadono dopo un certo tempo. Pertanto, gli utenti devono generare nuovi token ogni volta che hanno bisogno di un token OAuth.
In questo caso, sia i token di accesso che quelli di aggiornamento OAuth sono stati esposti, dando agli attori di minacce malintenzionate abbastanza informazioni per ottenere il pieno accesso a un account Avon.
Inoltre, il database esposto contiene informazioni personali dei suoi dipendenti e clienti, inclusi dettagli sensibili come,
Nomi e cognomi
Numeri di telefono
Date di nascita
Indirizzi e-mail
Indirizzi fisici
Coordinate GPS
Importi dell'ultimo pagamento
Nomi dei dipendenti della società (sospetti ma non confermati)
Email dell'utente amministratore
Secondo il rapporto, il database ha ospitato circa 7 GB di dati, che sono rimasti esposti per nove giorni (dal 3 giugno 2020 al 12 giugno 2020). Avon ha rilasciato una dichiarazione il 9 giugno 2020, confermando che i suoi sistemi sono stati interrotti a causa di un "incidente" che ha "parzialmente influenzato" le sue operazioni.
Avon ha rilasciato un'altra dichiarazione pochi giorni dopo per confermare che i dati finanziari non sono stati compromessi in quanto il suo 'sito web principale di e-commerce' non memorizza informazioni finanziarie. L'azienda ha anche confermato che le operazioni in tutto il mondo sono state compromesse a causa dell'incidente, motivo per cui il suo servizio funzionava normalmente in alcune regioni e in altre era offline.
Registro interno con il nome del dipendente dell'azienda (Immagine: SafetyDetectives)
L'esposizione delle PII è un punto di preoccupazione in quanto può permettere ai criminali informatici di lanciare una serie di truffe, tra cui le frodi di identità o gli schemi di phishing. D'altra parte, l'esposizione dei dati tecnici, in particolare del token OAuth, rappresenta un grande rischio per Avon in quanto un hacker può ottenere il controllo completo del server, installare ransomware, sfruttare la sua infrastruttura di pagamento e causare danni permanenti all'azienda.
Non è ancora chiaro se questo incidente abbia qualche connessione con il cyber-incidente avvenuto a maggio.
