2.5 Milyon Yves Rocher Müşterisinin Verileri İhlal Edildi

Korunmasız Elasticsearch Veri Tabanı Kozmetik Markası Yves Rocher’ın, 2,5 Milyon Müşterisinin Verilerinin İhlal Edilmesine Neden Oldu.

  • Veri tabanı, dünyadaki şirketlere hizmet veren bir Fransız danışmanlık şirketi olan Aliznet’e aitti.
  • Etkilenen müşterilerin çoğu Kanada’da bulunuyordu.

Bir kozmetik şirketi olan Yves Rocher’ın, araştırmacılar güvenli olmayan bir Elasticsearch veritabanını keşfettikten sonra milyonlarca müşterisinin verilerinin ifşa edildi. Veri tabanı, dünyadaki şirketlere hizmet veren bir Fransız danışmanlık şirketi olan Aliznet’e aitti.

Hangi veriler ortaya çıktı?

VPNMentor’daki araştırmacılar tarafından keşfedilen yanlış yapılandırılmış veritabanı, öncelikle Aliznet’in müşterisi olan Yves Rocher’ın hassas bilgilerini içeriyordu. Kozmetik markasıyla ilişkilendirilen ad ve soyadları, telefon numaraları, e-posta adresleri, doğum tarihleri ​​ve yaklaşık 2,5 milyondan fazla müşterinin posta kodu gibi özel bilgileri içeriyordu.

Kayıtlar ayrıca her bir müşteri için FID numarası adı verilen potansiyel olarak hassas bir şeyi ortaya koydu. FID numaraları birkaç ülke tarafından uluslararası nakliye veya vergi amaçlı kullanılmaktadır.

Etkilenen müşterilerin çoğu Kanada’da bulunuyordu.

Sipariş kayıtları da açıkta

Kişisel olarak tanımlanabilir bilgilerin yanı sıra, VPNMentor araştırmacıları altı milyondan fazla müşterinin verdiği sipariş kayıtlarını da keşfetti.

“Her sipariş için, işlem tutarını, kullanılan para birimini, teslimat tarihini ve siparişin verildiği mağazanın yerini görüntüleyebildik.”

Dahili veri de sızdırılmış

Müşterilerin kişisel detaylarına ek olarak, Yves Rocher ile ilgili dahili bilgiler de ortaya kondu. Bunlar;

  • Mağaza trafiğini, ciroyu ve sipariş hacimlerini tanımlayan istatistikler;
  • 40.000’den fazla perakende ürün için ürün açıklamaları ve içerikleri;
  • Ürün fiyatları ve ilgili teklif kodları.

“Sızan veri tabanının diğer kısımları Aliznet’in kurumsal kaynaklarına bağlı. Bunlar arasında önceki Aliznet iş ilanları ve müşteri başarı öyküleri, Aliznet çalışan profili portreleri, web sitesi medyası ve diğer tanıtım materyallerini içeren PDF dosyaları yer aldı ”

Kayda değer

Araştırma ekibi ayrıca, açığa çıkan Elasticsearch veritabanında bir başka ciddi güvenlik açığı keşfetti. Bu, araştırmacıların Aliznet tarafından Yves Rocher için oluşturduğu API arayüzüne erişmelerini sağladı. Bilgisayar korsanlarının, bu güvenlik açığından şirket ve müşterileri hakkında ek bilgi çalmak için yararlanabileceğine inanılmaktadır.

About The Author

Reply