Avon - dane klientów i pracowników wciąż mogą krążyć po sieci

Choć od "wycieku danych" firmy Avon minęły już niemal dwa miesiące, to okazuje się, że dane klientów i pracowników firmy kosmetycznej wciąż mogą trafić w niepowołane ręce.

Na początku czerwca Avon Products poinformowało o incydencie, który wpłynął na działanie ich systemów informatycznych. Przedstawiciele firmy w oficjalnym oświadczeniu zapewniali, że przeprowadzą szczegółowe dochodzenie mające określić skalę problemu. Specjaliści od spraw cyberbezpieczeństwa i liczni przedstawiciele mediów również rozpoczęli swoje śledztwa.

Avon wyciek danych

Avon - dane klientów wciąż mogą krążyć po sieci

Po kilku dniach od awarii Avon poinformował, że sytuacja została opanowana, a żadne informacje dotyczące danych klientów (jak np. numery kart kredytowych) nie trafiły do przestępców. Co ciekawe, w tym samym czasie niezależne media informowały o wycieku danych ponad 250 tysięcy klientów firmy kosmetycznej.

Sprawie postanowili przyjrzeć się również specjaliści z SafetyDetectives. Według ich ustaleń, informacje przekazywane przez Avon są rozbieżne z rzeczywistością. Z raportu opublikowanego przez SafetyDetectives wynika, iż do sieci wyciekły nie tylko techniczne dane, które mogą zagrażać systemom informatycznym firmy w przyszłości, ale również ponad 7 GB danych osobowych, które zawierały takie informacje jak

  • imiona i nazwiska, numery telefonów, daty urodzenia i adresy zamieszkania
  • adresy e-mail, współrzędne GPS, ostatnie kwoty płatności
  • nazwiska pracowników firmy (niepotwierdzone)
  • ponad 40 000 tokenów bezpieczeństwa

Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce twierdzi, że ujawnione informacje mogą w przyszłości zaszkodzić nie tylko klientom firmy Avon, ale również jej samej.

Niepokojące jest to, że wyciek ujawnił mnóstwo dzienników technicznych, które można wykorzystać nie tylko do atakowania klientów Avon Products, ale także bezpośrednio infrastruktury informatycznej tej firmy, prowadząc w ten sposób do dalszych zagrożeń bezpieczeństwa i konsekwencji finansowych. Biorąc pod uwagę rodzaj i ilość udostępnionych poufnych informacji, hakerzy byliby w stanie przejąć pełną kontrolę nad serwerem i przeprowadzić poważne działania, które trwale mogą niszczyć markę Avon; mianowicie ataki ransomware i paraliżowanie infrastruktury płatniczej firmy. - Mariusz Politowicz

Co ciekawe, właściciel większościowych udziałów w Avon Products - brazylijska firma Natura & Co Cosmetics, musiała mierzyć się z podobną awarią w kwietniu tego roku. Wówczas dane osobowe ponad 190 milionów klientów zostały znalezione całkowicie niezabezpieczone na dwóch serwerach Amazon w USA.

Zobacz również: Windows 10 Defender: CCleaner oflagowany jako potencjalne zagrożenie