Μια ευρωπαϊκή εταιρεία στον τομέα της μόδας (λιανική πώληση) εξέθεσε τα προσωπικά δεδομένα εκατομμυρίων πελατών της, καθώς χρησιμοποιούσε μια cloud βάση δεδομένων με λανθασμένη διαμόρφωση. Οι ερευνητές του vpnMentor ήταν αυτοί που ανακάλυψαν τον μη κρυπτογραφημένο Elasticsearch server. Η ανακάλυψη έγινε στις 28 Ιουνίου και η μητρική εταιρεία BrandBQ τον ασφάλισε περίπου ένα μήνα αργότερα, στις 20 Αυγούστου.
Ο λιανοπωλητής, με έδρα την Κρακοβία, διαθέτει τόσο διαδικτυακά όσο και φυσικά καταστήματα. Τα φυσικά καταστήματα βρίσκονται σε όλη την Ανατολική Ευρώπη: Πολωνία, Ρουμανία, Ουγγαρία, Βουλγαρία, Σλοβακία, Ουκρανία και Τσεχία. Τα βασικά brands του είναι τα Answear και WearMedicine.com.
Σύμφωνα με τους ερευνητές, η εκτεθειμένη βάση δεδομένων περιείχε περίπου 1 δισεκατομμύριο δεδομένα. Από αυτά, τα 6,7 εκατομμύρια ανήκαν σε διαδικτυακούς πελάτες της εταιρείας. Τα εκτεθειμένα δεδομένα περιλαμβάνουν: προσωπικά στοιχεία ταυτότητας (PII), όπως πλήρη ονόματα, email, διευθύνσεις σπιτιού, ημερομηνίες γέννησης, αριθμούς τηλεφώνου και αρχεία πληρωμών (ωστόσο δεν υπήρχαν στοιχεία καρτών πληρωμής).
Επιπλέον, η βάση δεδομένων περιείχε 50.000 αρχεία που σχετίζονταν με τοπικούς εργολάβους. Σε αυτές τις περιπτώσεις, εκτέθηκαν πληροφορίες όπως ΦΠΑ και πληροφορίες αγορών. Τέλος, σύμφωνα με τους ερευνητές του vpnMentor, επηρεάστηκαν στοιχεία που σχετίζονταν με τη mobile εφαρμογή της Answear, εκθέτοντας προσωπικές πληροφορίες 500.000 χρηστών της Android εφαρμογής αλλά και χρηστών της iOS έκδοσης.
Οι ερευνητές πιστεύουν ότι η εκτεθειμένη βάση δεδομένων περιλαμβάνει αρκετά στοιχεία που θα μπορούσαν να αξιοποιήσουν οι εγκληματίες του κυβερνοχώρου για να πραγματοποιήσουν επιτυχημένες και πολύ πειστικές phishing επιθέσεις.
“Οι ίδιες τακτικές θα μπορούσαν να χρησιμοποιηθούν εναντίον των εργολάβων και της ίδιας της εταιρείας BrandBQ. Μια επιτυχημένη phishing εκστρατεία εναντίον μιας επιχείρησης μπορεί να είναι απολύτως καταστροφική και η αντιμετώπισή της αποτελεί πρόκληση“, εξήγησε η BrandBQ.
“Επιπλέον, το μόνο που χρειάζεται είναι ένας υπάλληλος χωρίς εκπαίδευση στα εγκλήματα στον κυβερνοχώρο, για να κάνει κλικ σε έναν κακόβουλο σύνδεσμο σε email. Και έτσι θα μπορούσε να μολυνθεί ολόκληρο το δίκτυο μιας εταιρείας. Με περισσότερους από 700 υπαλλήλους, αυτός είναι ένας πραγματικός κίνδυνος για την BrandBQ“.
Σύμφωνα με το Infosecurity Magazine, οι επιτιθέμενοι θα μπορούσαν, επίσης, να χρησιμοποιήσουν τα εκτεθειμένα δεδομένα για εταιρική κατασκοπεία και να αξιοποιήσουν “ευαίσθητες τεχνικές πληροφορίες” στη βάση δεδομένων για να ανακαλύψουν ευπάθειες που θα μπορούσαν να εκμεταλλευτούν.