Wydruk strony Dla Handlu - www.dlahandlu.pl

Wyciekły dane 8,5 mln klientów francuskiej firmy Yves Rocher



PAP - 3 września 2019 18:15


Dane osobowe 8,5 mln klientów francuskiego producenta kosmetyków Yves Rocher mieszkających w Kanadzie zostały znalezione w niezabezpieczonej bazie danych obsługiwanej przez firmę Aliznet - poinformował we wtorek serwis Infosecurity Magazine.

Dane, których bezpieczeństwo naruszono, to m.in. imiona i nazwiska klientów, ich adresy e-mail, numery telefonów oraz daty urodzenia i kody pocztowe. W przypadku 6 mln osób odkryto dane związane z zamówieniami w sklepie online firmy, obejmujące wartość transakcji i jej walutę, a także informacje o lokalizacji dostawy i sklepu, z jakiego nadawano zamówienie. Każdy rekord powiązany z działaniem sklepu internetowego Yves Rocher połączony był z unikalnym numerem identyfikacyjnym klienta, który mógł posłużyć do wskazania konkretnych osób poszkodowanych w wyniku incydentu.

Firma vpnMentor, której specjaliści odnaleźli niezabezpieczone informacje poinformowała, że odkryto także bazę wewnętrznych danych Yves Rocher, zawierającą m.in. statystyki ruchu na internetowej platformie sprzedaży, przychody z niej i objętość zamówień, a także skład oraz opisy ponad 40 tys. produktów firmy.

Specjaliści wskazują, że dane te mogą posłużyć m.in. konkurencji francuskiego Yves Rocher, która potencjalnie może zyskać w ten sposób dostęp do pełnych informacji nt. konkretnych klientów firmy wraz z ich danymi kontaktowymi oraz wiekiem i historią zamówień.

Eksperci odnaleźli również lukę w zabezpieczeniach interfejsu programistycznego (API) platformy dla osób uczestniczących w rekrutacjach na stanowiska pracy w Yves Rocher, za której rozwój również odpowiedzialna jest firma Aliznet, świadcząca usługi z zakresu rozwiązań cyfrowych m.in. dla marek takich jak Auchan czy Lacoste.

Wykorzystanie podatności w tym wypadku mogłoby umożliwić hakerom m.in. modyfikowanie i kasowanie poszczególnych rekordów w bazie danych Yves Rocher, zarówno z informacjami dotyczącymi klientów, jak i pracowników firmy - poinformowano.

Polski oddział firmy Yves Rocher do czasu publikacji depeszy nie odpowiedział na pytania PAP związane z możliwym przełożeniem incydentu na bezpieczeństwo i prywatność danych osobowych klientów w kraju.