BALICITIZEN

Ikuti perkembangan terkini Indonesia di lapangan dengan berita berbasis fakta PosPapusa, cuplikan video eksklusif, foto, dan peta terbaru.

Setengah juta pembeli di jalanan karena pelanggaran data Sephora

Setengah juta pembeli di jalanan karena pelanggaran data Sephora

Peneliti keamanan dari VPNGids.nl telah menemukan pelanggaran data besar-besaran di raksasa kosmetik Sephora. Tim investigasi, yang dipimpin oleh Aaron Phillips, dapat mengonfirmasi bahwa data pribadi hampir setengah juta pelanggan tidak aman saat online. Sephora adalah toko kosmetik raksasa Prancis yang memiliki beberapa lokasi di Amerika Serikat, tetapi juga mencoba untuk mendapatkan pijakan di Eropa dan Belanda.

Pengguna yang terpengaruh adalah anggota Program Hadiah Sephora Dari sebelum 2019. Kami menganalisis kebocoran dan mengembangkan garis waktu peristiwa.

Data apa yang ada di jalan?

Data pribadi berikut ditemukan selama pelanggaran data:

  • Mencocokkan nomor kartu Kecantikan Sephora di dalam
  • Nomor rekening
  • nama lengkap
  • Alamat email
  • nomor telepon
  • Poin Imbalan Sephora

Data terungkap ketika Sephora mengekspor informasi dari database mereka dan menyimpannya di cloud Amazon.

Tim kami mengambil tangkapan layar, dan sebagian kecil dari data yang ditemukan dapat dilihat di atas. Sephora menutup infus setelah beberapa hari. Seperti yang Anda lihat ada informasi pribadi di lapangan Nama lengkap, email dan nomor kartuDan nomor teleponkan

Konsekuensi kebocoran

Kami menemukan data itu dari beberapa 490.000 pelanggan Sephora terlibat dalam kebocoran. Tentang klien dari meksiko itu disana akun untuk tahun 2019. Berdasarkan informasi yang kami dapatkan, tampaknya semua pelanggan yang informasinya bocor adalah anggota Program Hadiah Sephorakan

Jumlah bidang data pribadi Sephora hack

Nomor kartu yang bocor sepertinya cocok Kartu Kecantikan SephoraInformasi, seperti dari sephora putih-Individu. Sephora membiarkan data tidak aman di penyimpanan cloud yang dapat diakses siapa saja secara online.

Data diakses oleh wadah AWS S3 yang tidak aman

Sumber kebocoran adalah dokumen cadangan dari database yang tersedia untuk umum di Internet. Cadangan berada di wadah Amazon Web Services (AWS) dari Sephora.

READ  GoJek Membayar 8,38 Juta Euro untuk Menukarkan Cryptocurrency dari Indonesia - BTC Direct

Semua orang dapat melihat data melalui jenis kebijakan keamanan yang telah disiapkan perusahaan untuk peti kemas. Pada prinsipnya, ini memungkinkan siapa saja untuk mengakses dokumen. Ini menimbulkan risiko yang signifikan bagi pelanggan.

File peretasan Sephora

Peneliti keamanan kami percaya bahwa data Tidak terlindungi secara online karena kesalahan Mereka berakhir setelah Migrasi data di 2019kan

Kebocoran puisi setelah laporan

Setelah penemuan kami, kami melaporkan ke Sephora. Kemudian perusahaan menutup situs kebocoran Hapus akses gratis ke buldoserTim investigasi telah menghapus informasi pribadi yang diterima.

Jadwal bocor

Di bawah ini adalah garis waktu pelanggaran data di Sephora.

Sasaran Sejarah
Peneliti keamanan Aaron Phillips menemukan kebocoran 4 Desember 2021
Sephora akan diberitahukan melalui [email protected] 5 Desember 2021
Sephora akan diberitahukan melalui [email protected] 8 Desember 2021
Sephora menutup kebocoran 17 Desember 2021

Sephora berpartisipasi dalam HackerOne program hadiah bugProgram hanya menerima kesalahan yang memengaruhi domain sephora.com. Kebocoran ini terjadi karena ini Tidak dalam karunia bug Karena itu domain luar.

Bukan insiden keamanan siber pertama di Sephora

Ini bukan pertama kalinya data pribadi pelanggan Sephora diekspos secara online. Pada tanggal 30 Juli 2019 ada Kebocoran serupa Dari data pribadi di raksasa kecantikan. Kemudian pelanggan Sephora di Malaysia, Singapura, Indonesia, Thailand, Filipina, Selandia Baru, dan Australia menghadapi risiko pelanggaran data.

Pada saat itu, Sephora memberi tahu Komisi Perlindungan Data Pribadi (PDPC) tentang masalah tersebut. Selain itu, perusahaan segera meminta bantuan perusahaan keamanan siber terkemuka. Ini mengatur ulang semua kata sandi klien yang ada secepat mungkin dan menambal kerentanan. Sejak itu, Sephora juga telah mengakuisisi Layanan pemantauan data pelanggan gratis kepada klien yang relevan.

READ  Bowls Kortrijk membuka cabang keduanya di Bruges

Menurut pesan resmi Sephora kepada pelanggannya, ada Tidak ada tanda-tanda penyalahgunaan informasi yang diretas oleh orang-orang jahat.

Namun, penting untuk disadari bahwa Penjahat dunia maya selalu mencari data pribadi Mereka dilatih untuk menghindari deteksi. Oleh karena itu sulit untuk menentukan apakah informasi yang bocor telah disalahgunakan. Misalnya, ada kemungkinan bahwa korban tidak akan mengaitkan penipuan dengan pelanggaran data atau bahwa informasi tersebut akan disalahgunakan di masa mendatang melalui, misalnya, phishing atau penipuan identitas.

Amazon Web Services rentan terhadap kesalahan konfigurasi

Ini bukan pertama kalinya pelanggan Amazon mengalami “ember bocor”. Sebelumnya, misalnya, jutaan data Facebook dibiarkan berserakan di ember yang dapat diakses publik. Selain itu, pelanggaran besar-besaran terjadi baru-baru ini di SEGA Eropa karena bug Amazon Bucket. Bagaimana kontainer Amazon S3 dapat menyebabkan kebocoran seperti itu?

Bucket S3 seperti folder di komputer Anda. Folder-folder ini terletak di cloud Amazon, yang digunakan banyak perusahaan untuk membuat data dapat diakses di seluruh dunia. Bucket S3 sebenarnya tidak tidak aman Tetapi penting bahwa kebijakan akses diatur dengan benar untuk melindungi data.

Jika kebijakan keamanan kontainer tidak dikonfigurasi dengan benar, data pribadi dapat diekspos. Jadi Amazon juga memperingatkan pelanggannya bahwa tidak ada kebijakan akses berbasis luas yang tidak perlu.

Namun, ada juga banyak alasan mengapa klien harus membuat bucket tersedia untuk umum, misalnya untuk menghosting gambar untuk situs web. Ketika ada yang salah Informasi pribadi perusahaan dalam wadah publik untuk membuatHal ini tampaknya juga terjadi di Sephora.

Pentingnya keamanan siber di tahun 2022

Dalam beberapa tahun terakhir, kita telah menyaksikan peningkatan yang belum pernah terjadi sebelumnya dalam serangan dunia maya yang canggih dengan konsekuensi bencana tidak hanya untuk organisasi individu tetapi juga untuk Internet secara umum. Beberapa contoh terbaru dari tahun 2020 dan 2021 adalah peretasan SolarWinds dan kecelakaan Log4Shell.

READ  Momok inflasi, tekanan taman, pemborosan masker, dan politik Bibi

Perusahaan keamanan siber memahami bahwa langkah-langkah keamanan yang ketat adalah prioritas nomor satu bagi organisasi mana pun. Hal ini terutama disebabkan oleh jumlah data sensitif yang disimpan dan dibagikan secara online. Bisnis harus memiliki Ketahui risiko internal dan eksternalKasus Sephora ini membuktikan bahwa perusahaan di industri mana pun dapat membahayakan data mereka karena kelemahan keamanan siber.

Peneliti keamanan VPNOverview.com Aaron Phillips berkomentar, “Saya pikir pelanggaran Sephora ini benar-benar menunjukkan bahwa kebocoran informasi dapat mempengaruhi siapa saja dan pada akhirnya mengarah pada pencurian identitas. Setiap perusahaan perlu meningkatkan standar dan praktik terbaik Melacak ketika mereka berurusan dengan data pelanggan. Banyak orang jahat menghasilkan uang dengan membeli dan menjual informasi yang tertinggal di awan.”