信息化觀察網(wǎng)

全球化妝品巨頭雅芳（Avon）最近因云服務(wù)器配置錯(cuò)誤泄漏了1900萬條記錄，其中包括個(gè)人信息和技術(shù)日志。

SafetyDetectives的研究人員發(fā)現(xiàn)雅芳在Azure服務(wù)器上的Elasticsearch數(shù)據(jù)庫公開暴露，且沒有密碼保護(hù)或加密。

SafetyDetectives在隨后的一份報(bào)告中解釋說：“該漏洞實(shí)際上意味著擁有服務(wù)器IP地址的任何人都可以訪問公司的開放數(shù)據(jù)庫。”

總部位于倫敦的雅芳公司在全球范圍內(nèi)的年銷售額超過55億美元，此次暴露的7GB數(shù)據(jù)于6月12日被安全公司發(fā)現(xiàn)之前已經(jīng)暴露了9天。

暴露的數(shù)據(jù)庫包含有關(guān)客戶和員工的個(gè)人身份信息（PII），包括全名、電話號(hào)碼、生日、電子郵件和家庭住址以及GPS坐標(biāo)。此外包括40,000多個(gè)安全令牌、OAuth令牌、內(nèi)部日志、賬戶設(shè)置和技術(shù)服務(wù)器信息。

根據(jù)SafetyDetectives的說法，雖然可以利用PII進(jìn)行各種各樣的身份欺詐和后續(xù)的網(wǎng)絡(luò)釣魚詐騙，但暴露的技術(shù)細(xì)節(jié)也給雅芳自身帶來了風(fēng)險(xiǎn)。

“鑒于提供的敏感信息的類型和數(shù)量，黑客將能夠掌握完全的服務(wù)器控制權(quán)并實(shí)施嚴(yán)重破壞性的行動(dòng)，這些行動(dòng)能永久性地?fù)p害雅芳品牌，暴露勒索軟件攻擊并使公司的支付基礎(chǔ)設(shè)施癱瘓。”

有趣的是，6月9日向美國證券交易委員會(huì)提交的文件顯示，雅芳提及“在其信息技術(shù)環(huán)境中發(fā)生了網(wǎng)絡(luò)事件，該事件中斷了某些系統(tǒng)并部分影響了運(yùn)營”。

雅芳在6月12日的第二次申明中指出，該公司正計(jì)劃重啟系統(tǒng)。

SafetyDetectives透露：“雅芳正在繼續(xù)調(diào)查以確定事件的程度，包括潛在的泄露的個(gè)人數(shù)據(jù)。”“盡管如此，由于它的主要電子商務(wù)網(wǎng)站未存儲(chǔ)該信息，因此目前尚無法預(yù)料信用卡詳細(xì)信息會(huì)受到影響。”