在研究人员发现一个不安全的 Elasticsearch 数据库后,一家法国零售咨询公司公布了数百万客户客户的数据以及敏感的商业信息。
Aliznet 专门从事数字化转型,其名称来自科技巨头 IBM,甲骨文和 Salesforce,欧尚等零售领导者以及 Yves Rocher 和 Lacoste 等大品牌客户。
然而,来自 vpnMentor 的研究人员能够访问包含 250 万加拿大 Yves Rocher 客户数据的私人 Aliznet 数据库。这包括姓名,电话号码,电子邮件地址,出生日期和邮政编码。
他们还在数据库中发现了 600 多万个客户订单,包括交易金额,使用的货币,交货日期和商店位置。
“每个订单也与唯一的客户 ID 相关联。使用泄露的 Yves Rocher 客户记录,我们能够识别通过客户 ID 下订单的个人,“研究人员解释说。
除了这些敏感的客户个人身份信息(PII)外,vpnMentor 还发现了内部 Yves Rocher 数据,包括:商店流量,营业额和订单量的统计数据,超过 40,000 种产品的产品描述和成分,以及产品价格和报价代码。
研究团队声称,这些信息可能是 Yves Rocher 竞争对手的重要资产,使他们可以估算商店销售,订单量和其他交易数据。
“暴露的数据库还为竞争对手提供了 Yves Rocher 的加拿大客户名单,包括他们的姓名,年龄,联系信息和订单历史,” 它继续说道。
“竞争性化妆品和美容公司可以利用这些信息创建针对 Yves Rocher 客户的高效广告活动。这可能导致 Yves Rocher 失去竞争对手的客户。“
vpnMentor 团队还发现了一个 API 漏洞,允许他们访问由 Aliznet 为 Yves Rocher 员工构建的应用程序。
vpnMentor 声称,使用以前详细泄漏中暴露的员工 ID,黑客可以登录 Yves Rocher 员工获取更多有关业务及其客户的数据,甚至可以添加,删除或修改公司数据库中的数据。
非常感谢您对亚洲注册的支持与信任!
禁止转载