Internetowa baza danych koncernu kosmetycznego nie posiadała ochrony hasłem i zawierała miliony informacji.
Jaka była natura ujawnionych danych Estee Lauder?
Według Fowlera baza danych wydawała się być systemem zarządzania treścią, który zawierał wszystko - od działania sieci, po odniesienia do dokumentów wewnętrznych, danych matrycy sprzedaży i innych. - Gdy tylko zobaczyłem adresy e-mail, byłem w stanie potwierdzić, że to byli prawdziwi ludzie i natychmiast skontaktowałem się z Estee Lauder - mówi Jeremiah Fowler w rozmowie z forbes.com,
Odkrył on 440 336 852 danych, które nie powinny być ujawniane publicznie, w tym wiadomości e-mail użytkowników w postaci zwykłego tekstu. Oprócz odniesień do raportów i innych dokumentów wewnętrznych, ujawniono również adresy IP, porty, ścieżki i informacje o pamięci masowej, które „cyberprzestępcy mogliby wykorzystać w celu uzyskania dostępu do głębszej sieci”.
Czego nie zawierała baza danych Estee Lauder?
Zgodnie wiedzą Fowlera nie zawierały ujawnionych rekordów bazy danych, żadnych danych dotyczących płatności lub poufnych informacji o pracownikach.
Takie zagrożone bazy danych wydają się być coraz bardziej powszechne.
- Niebezpieczeństwo takiego ujawnienia polega na tym, że oprogramowanie pośrednie może stworzyć wtórną ścieżkę dla złośliwego oprogramowania przez które można narażać aplikacje i dane. W takim przypadku każdy, kto ma połączenie z internetem, może zobaczyć jakich wersji lub kompilacji używano, ścieżek i innych informacji, które mogą służyć jako backdoor do sieci - tłumaczy ekspert na forbes.com.
Firma Estee lauder wydała następujące oświadczenie: „W dniu 30 stycznia 2020 r. zostaliśmy poinformowani, że ograniczona liczba nieosobistych adresów e-mail z platformy edukacyjnej była tymczasowo dostępna przez internet. Ta platforma edukacyjna nie była skierowana do konsumentów ani nie zawierała danych konsumentów. Nie znaleźliśmy żadnych dowodów na nieuprawnione wykorzystanie tymczasowo dostępnych danych. Firma Estee Lauder bardzo poważnie podchodzi do kwestii prywatności i bezpieczeństwa danych. Gdy tylko dowiedzieliśmy się o tym, podjęliśmy natychmiastowe działania w celu zabezpieczenia danych i powiadomienia odpowiednich stron. ”
