Ένας ειδικός ασφαλείας ανακάλυψε ότι η διάσημη εταιρεία καλλυντικών Estée Lauder εξέθεσε 440 εκατομμύρια αρχεία, τα οποία βρίσκονταν σε μια online βάση δεδομένων που δεν προστατευόταν.
Ο ερευνητής, που ανακάλυψε την εκτεθειμένη βάση δεδομένων ονομάζεται Jeremiah Fowler. Σύμφωνα με τις δηλώσεις του, η βάση περιελάμβανε 440,336,852 αρχεία.
Η Estée Lauder είναι μια αμερικανική πολυεθνική εταιρεία που ασχολείται με την παραγωγή και πώληση προϊόντων περιποίησης δέρματος και μαλλιών, προϊόντων μακιγιάζ και αρωμάτων. Διαθέτει πολλά brands που διανέμονται σε όλο τον κόσμο, είτε μέσω online stores είτε μέσω φυσικών καταστημάτων.
Ο Fowler ανακάλυψε τη μη προστατευμένη βάση δεδομένων στις 30 Ιανουαρίου και προσπάθησε να ενημερώσει τη εταιρεία.
“Στις 30 Ιανουαρίου ανακάλυψα μια βάση δεδομένων που δεν προστατεύεται με κωδικό πρόσβασης. Η βάση περιείχε τεράστιο όγκο αρχείων (440.336.852). Μετά από έρευνα, διαπίστωσα ότι υπήρχε σύνδεση με την εταιρεία καλλυντικών Estée Lauder που εδρεύει στη Νέα Υόρκη”, ανέφερε ο ερευνητής στο post του. “Μπορούσα να δω αρχεία που περιείχαν μεγάλο αριθμό διευθύνσεων email κλπ. Αμέσως έστειλα μια ειδοποίηση στην Estée Lauder προειδοποιώντας την για την έκθεση”.
Σύμφωνα με τον ειδικό, υπήρχαν πολλές διευθύνσεις email χρηστών σε απλό κείμενο, καθώς και εσωτερικές διευθύνσεις, από το domain @estee.com.
Τα εκτεθειμένα δεδομένα περιλαμβάνουν επίσης: τεχνικές πληροφορίες, όπως διευθύνσεις IP, θύρες και άλλα στοιχεία, που θα μπορούσαν να χρησιμοποιηθούν από επιτιθέμενους για τη συλλογή πληροφοριών σχετικά με τις υποδομές της Estée Lauder.
“Υπήρχαν εκατομμύρια στοιχεία σχετικά με το middleware που χρησιμοποιεί η εταιρεία Estée Lauder. Το middleware είναι λογισμικό που παρέχει κοινές υπηρεσίες και δυνατότητες σε εφαρμογές, πέρα από αυτά που προσφέρει το λειτουργικό σύστημα”, είπε ακόμα. “Το middleware ασχολείται με τη διαχείριση των δεδομένων, τις application υπηρεσίες, την ανταλλαγή μηνυμάτων, την πιστοποίηση ταυτότητας και τη διαχείριση API”.
Ο Fowler προειδοποιεί ότι η έκθεση στοιχείων του middleware θα μπορούσε να χρησιμοποιηθεί από hackers για την εγκατάσταση κακόβουλων λογισμικών.
Μετά την αποκάλυψη του περιστατικού, η Estée Lauder ανέλαβε δράση αμέσως και ασφάλισε τη βάση δεδομένων. Το καλό είναι ότι δεν υπήρχαν δεδομένα πληρωμών ή ευαίσθητες πληροφορίες των εργαζομένων σε αυτά τα αρχεία.
Ωστόσο, ο ερευνητής δήλωσε ότι δεν γνωρίζει για πόσο διάστημα ήταν εκτεθειμένη η βάση δεδομένων. Επίσης, δεν γνωρίζει εάν τα δεδομένα αποκτήθηκαν από κακόβουλους φορείς ή τρίτες υπηρεσίες.
