Millones de clientes de Yves Rocher afectados por una brecha de seguridad
- Actualidad
Por culpa de un servidor Elasticsearch desprotegido de su empresa consultora Aliznet se han expuesto los datos personales de más de 2,5 millones de clientes de la firma cosmética, así como información confidencial de la marca. Otros clientes de Aliznet podrían estar en riesgo.
El gigante de los cosméticos Yves Rocher ha advertido que una fuga de datos expuso los datos personales de millones de sus clientes y una gran cantidad de información confidencial de la compañía. La exposición de datos proviene de una base de datos que un consultor externo de la empresa dejó sin protección.
Investigadores de vpnMentor descubrieron un servidor Elasticsearch sin protección propiedad de Aliznet, que brinda servicios de consultoría a grandes empresas, incluidas IBM, Salesforce, Sephora y Louboutin. El servidor contenía datos sobre la marca Yves Rocher, que es uno de los clientes de Aliznet, además de exponer información de identificación personal completa de los clientes de Yves Rocher.
“La fuga de Aliznet tiene consecuencias de mayor alcance que el impacto en los clientes individuales. La brecha de datos afecta a los clientes de Aliznet que confiaron en la empresa para proteger su información confidencial. La preocupación es que Aliznet puede tener otras bases de datos y aplicaciones no seguras que aún no se han descubierto. Eso significa que otros clientes de Aliznet pueden estar en riesgo", alertan los investigadores
Los investigadores dijeron que podían ver los datos personales de 2,5 millones de clientes canadienses de Yves Rocher a través de la base de datos desprotegida, incluidos nombres y apellidos, números de teléfono, direcciones de correo electrónico, fecha de nacimiento y códigos postales. Además, los investigadores pudieron ver registros de más de 6 millones de pedidos de clientes, cada uno de los cuales estaba vinculado a un ID de cliente único. Los investigadores pudieron utilizar los registros de datos personales filtrados para identificar a las personas que hicieron pedidos a través de sus ID.
El servidor también expuso información interna sobre el propio Yves Rocher, incluidas estadísticas que describen el tráfico de la tienda, la rotación y los volúmenes de pedidos; descripciones de productos e ingredientes para más de 40.000 productos, y precios y códigos de oferta relevantes.
Finalmente, los investigadores pudieron acceder a la interfaz API de una aplicación creada por Aliznet para Yves Rocher. Si bien la aplicación parece haber sido creada para ser utilizada por los empleados de Yves Rocher, en lugar de los clientes, está vinculada a bases de datos que contienen las direcciones de los clientes y los historiales de compra.
