- 09/09/2019
una brecha de seguridad en Yves Rocher afecta a millones de clientes
CiberseguridadUna brecha de seguridad en un proveedor de servicios expone información personal de millones de clientes del gigante de la cosmética Yves Rocher. Junto con la información de sus clientes, la brecha de seguridad ha expuesto también gran cantidad de información confidencial de la Compañía y proviene de una base de datos que un consultor externo dejó sin protección.
Investigadores de vpnMentor hicieron público que habían descubierto un servidor Elasticsearch sin protección propiedad de Aliznet, consultora francesa que brinda servicios de consultoría a grandes empresas, tales como IBM, Salesforce, Sephora o Louboutin. El servidor contenía datos sobre la marca internacional de cosméticos y belleza Yves Rocher, que es uno de los clientes de Aliznet, además de exponer información de identificación personal completa de millones de sus clientes.
La violación de datos afecta a los clientes de Aliznet que confiaron en la empresa para proteger su información confidencial. Preocupa que Aliznet pueda haber incurrido en el mismo error con otros de sus clientes de retail y tenga bases de datos y aplicaciones no seguras que aún no se hayan descubierto. Los propios investigadores de vpnMentor verificaron que la base de datos se había protegido poco después de que la exposición de datos se hizo pública.
2.5 millones de datos personales de clientes al descubierto
Los investigadores de vpnMentor comentan haber tenido acceso a los datos personales de 2.5 millones de clientes canadienses de Yves Rocher a través de la base de datos desprotegida: nombres y apellidos, números de teléfono, direcciones de correo electrónico, fecha de nacimiento y códigos postales. Además, pudieron acceder a los registros de más de 6 millones de pedidos de clientes para Yves Rocher. Cada pedido estaba vinculado a un ID de cliente único y los investigadores pudieron utilizar los registros de datos personales filtrados para identificar a las personas que hicieron pedidos a través de sus identificaciones: importe de la transacción, moneda utilizada, fecha de entrega, ubicación de la tienda donde se realizó el pedido, nombre completo del empleado que procesó cada pedido y su identificación de empleado.
En el servidor expuesto, también se mostraba información interna sobre Yves Rocher: estadísticas sobre el tráfico de la tienda; rotación y los volúmenes de pedidos; descripciones de productos e ingredientes para más de 40.000 productos minoristas y precios de productos y códigos de oferta; pdf incluyendo trabajos anteriores de Aliznet; casos de éxito de clientes; perfiles de empleados de Aliznet, etc.
Incluso pudieron acceder a la interfaz API para una aplicación creada por Aliznet para Yves Rocher que está vinculada a bases de datos que contienen las direcciones de los clientes y los historiales de compra, a pesar de que está diseñada para ser utilizada por los empleados de Yves Rocher.
Gracias a la brecha de seguridad, ciberdelincuentes podrían iniciar sesiones en el sistema utilizando identificadores expuestos de los empleados y acceder a nformación adicional sobre la empresa y sus clientes. Asimismo, permitiría agregar, eliminar o modificar datos en la base de datos de la compañía, manipulando datos relacionados con clientes, productos, tiendas, etc.
Este tipo de exposiciones capaces de generar ciberincidnetes, representan una amenaza real para cualquier empresa que comparta datos con socios, consultores o empresas de servicios. En abril de 2019 se encontraron cientos de millones de registros de Facebook en dos conjuntos de datos de aplicaciones expuestos públicamente; en mayo, el proveedor de servicios de TI HCL Technologies expuso accidentalmente contraseñas, informes confidenciales de proyectos y otros datos privados de miles de clientes. En junio se filtraron más de un terabyte de datos de una empresa consultora correspondientes a sus principales clientes de Fortune 100.
Proteger su ecosistema digital significa utilizar todos los medios a su alcance para proteger su actividad:
- con mantenimiento informático preventivo que mantenga las aplicaciones y servicios actualizados y con los últimos parches de seguridad, generando copias de seguridad, realizando backups de sus datos, organizando planes de contingencia y recovery backups..
- concienciando y formando a su personal en la identificación y gestión de posibles ciberataques (por ejemplo, mediante simuladores de ciberataques como el que Efika les ofrece)
- y seleccionando a proveedores IT que aporten seguridad al ecosistema y no debiliten su ciberseguridad.
Contacte con Efika. Sabemos cómo ayudarles a mejorar su ciberseguridad.
Tags: ciberataque, ciberdelincuente, ciberseguridad, robo de datos, simulador de ciberataques
Efika Sistemas Informáticos Gestionados
Especialistas en mantenimiento informático para empresas, profesionales y organizaciones.
Quicklinks
Sede Corporativa
|
Ronda Tapies, 44 - 2º 3ª 08540 Centelles Cómo llegar |
|
| Lunes a Viernes De 09:00 a 19:00 horas |
|
| 902 196 198 | |
| info@efika.es |
© 2010-2023 EFIKA Sistemas Informáticos Gestionados, S.L.U. Todos los derechos reservados | Aviso Legal | Política de Privacidad | Política de Cookies