Peneliti keamanan dari VPNGids.nl telah menemukan pelanggaran data besar-besaran di raksasa kosmetik Sephora. Tim investigasi, yang dipimpin oleh Aaron Phillips, dapat mengonfirmasi bahwa data pribadi hampir setengah juta pelanggan tidak aman saat online. Sephora adalah toko kosmetik raksasa Prancis yang memiliki beberapa lokasi di Amerika Serikat, tetapi juga mencoba untuk mendapatkan pijakan di Eropa dan Belanda.
Pengguna yang terpengaruh adalah anggota Program Hadiah Sephora Dari sebelum 2019. Kami menganalisis kebocoran dan mengembangkan garis waktu peristiwa.
Data apa yang ada di jalan?
Data pribadi berikut ditemukan selama pelanggaran data:
- Mencocokkan nomor kartu Kecantikan Sephora di dalam
- Nomor rekening
- nama lengkap
- Alamat email
- nomor telepon
- Poin Imbalan Sephora
Data terungkap ketika Sephora mengekspor informasi dari database mereka dan menyimpannya di cloud Amazon.
Tim kami mengambil tangkapan layar, dan sebagian kecil dari data yang ditemukan dapat dilihat di atas. Sephora menutup infus setelah beberapa hari. Seperti yang Anda lihat ada informasi pribadi di lapangan Nama lengkap, email dan nomor kartuDan nomor teleponkan
Konsekuensi kebocoran
Kami menemukan data itu dari beberapa 490.000 pelanggan Sephora terlibat dalam kebocoran. Tentang klien dari meksiko itu disana akun untuk tahun 2019. Berdasarkan informasi yang kami dapatkan, tampaknya semua pelanggan yang informasinya bocor adalah anggota Program Hadiah Sephorakan
Nomor kartu yang bocor sepertinya cocok Kartu Kecantikan SephoraInformasi, seperti dari sephora putih-Individu. Sephora membiarkan data tidak aman di penyimpanan cloud yang dapat diakses siapa saja secara online.
Data diakses oleh wadah AWS S3 yang tidak aman
Sumber kebocoran adalah dokumen cadangan dari database yang tersedia untuk umum di Internet. Cadangan berada di wadah Amazon Web Services (AWS) dari Sephora.
Semua orang dapat melihat data melalui jenis kebijakan keamanan yang telah disiapkan perusahaan untuk peti kemas. Pada prinsipnya, ini memungkinkan siapa saja untuk mengakses dokumen. Ini menimbulkan risiko yang signifikan bagi pelanggan.
Peneliti keamanan kami percaya bahwa data Tidak terlindungi secara online karena kesalahan Mereka berakhir setelah Migrasi data di 2019kan
Kebocoran puisi setelah laporan
Setelah penemuan kami, kami melaporkan ke Sephora. Kemudian perusahaan menutup situs kebocoran Hapus akses gratis ke buldoserTim investigasi telah menghapus informasi pribadi yang diterima.
Jadwal bocor
Di bawah ini adalah garis waktu pelanggaran data di Sephora.
| Sasaran | Sejarah |
|---|---|
| Peneliti keamanan Aaron Phillips menemukan kebocoran | 4 Desember 2021 |
| Sephora akan diberitahukan melalui [email protected] | 5 Desember 2021 |
| Sephora akan diberitahukan melalui [email protected] | 8 Desember 2021 |
| Sephora menutup kebocoran | 17 Desember 2021 |
Sephora berpartisipasi dalam HackerOne program hadiah bugProgram hanya menerima kesalahan yang memengaruhi domain sephora.com. Kebocoran ini terjadi karena ini Tidak dalam karunia bug Karena itu domain luar.
Bukan insiden keamanan siber pertama di Sephora
Ini bukan pertama kalinya data pribadi pelanggan Sephora diekspos secara online. Pada tanggal 30 Juli 2019 ada Kebocoran serupa Dari data pribadi di raksasa kecantikan. Kemudian pelanggan Sephora di Malaysia, Singapura, Indonesia, Thailand, Filipina, Selandia Baru, dan Australia menghadapi risiko pelanggaran data.
Pada saat itu, Sephora memberi tahu Komisi Perlindungan Data Pribadi (PDPC) tentang masalah tersebut. Selain itu, perusahaan segera meminta bantuan perusahaan keamanan siber terkemuka. Ini mengatur ulang semua kata sandi klien yang ada secepat mungkin dan menambal kerentanan. Sejak itu, Sephora juga telah mengakuisisi Layanan pemantauan data pelanggan gratis kepada klien yang relevan.
Menurut pesan resmi Sephora kepada pelanggannya, ada Tidak ada tanda-tanda penyalahgunaan informasi yang diretas oleh orang-orang jahat.
Namun, penting untuk disadari bahwa Penjahat dunia maya selalu mencari data pribadi Mereka dilatih untuk menghindari deteksi. Oleh karena itu sulit untuk menentukan apakah informasi yang bocor telah disalahgunakan. Misalnya, ada kemungkinan bahwa korban tidak akan mengaitkan penipuan dengan pelanggaran data atau bahwa informasi tersebut akan disalahgunakan di masa mendatang melalui, misalnya, phishing atau penipuan identitas.
Amazon Web Services rentan terhadap kesalahan konfigurasi
Ini bukan pertama kalinya pelanggan Amazon mengalami “ember bocor”. Sebelumnya, misalnya, jutaan data Facebook dibiarkan berserakan di ember yang dapat diakses publik. Selain itu, pelanggaran besar-besaran terjadi baru-baru ini di SEGA Eropa karena bug Amazon Bucket. Bagaimana kontainer Amazon S3 dapat menyebabkan kebocoran seperti itu?
Bucket S3 seperti folder di komputer Anda. Folder-folder ini terletak di cloud Amazon, yang digunakan banyak perusahaan untuk membuat data dapat diakses di seluruh dunia. Bucket S3 sebenarnya tidak tidak aman Tetapi penting bahwa kebijakan akses diatur dengan benar untuk melindungi data.
Jika kebijakan keamanan kontainer tidak dikonfigurasi dengan benar, data pribadi dapat diekspos. Jadi Amazon juga memperingatkan pelanggannya bahwa tidak ada kebijakan akses berbasis luas yang tidak perlu.
Namun, ada juga banyak alasan mengapa klien harus membuat bucket tersedia untuk umum, misalnya untuk menghosting gambar untuk situs web. Ketika ada yang salah Informasi pribadi perusahaan dalam wadah publik untuk membuatHal ini tampaknya juga terjadi di Sephora.
Pentingnya keamanan siber di tahun 2022
Dalam beberapa tahun terakhir, kita telah menyaksikan peningkatan yang belum pernah terjadi sebelumnya dalam serangan dunia maya yang canggih dengan konsekuensi bencana tidak hanya untuk organisasi individu tetapi juga untuk Internet secara umum. Beberapa contoh terbaru dari tahun 2020 dan 2021 adalah peretasan SolarWinds dan kecelakaan Log4Shell.
Perusahaan keamanan siber memahami bahwa langkah-langkah keamanan yang ketat adalah prioritas nomor satu bagi organisasi mana pun. Hal ini terutama disebabkan oleh jumlah data sensitif yang disimpan dan dibagikan secara online. Bisnis harus memiliki Ketahui risiko internal dan eksternalKasus Sephora ini membuktikan bahwa perusahaan di industri mana pun dapat membahayakan data mereka karena kelemahan keamanan siber.
Peneliti keamanan VPNOverview.com Aaron Phillips berkomentar, “Saya pikir pelanggaran Sephora ini benar-benar menunjukkan bahwa kebocoran informasi dapat mempengaruhi siapa saja dan pada akhirnya mengarah pada pencurian identitas. Setiap perusahaan perlu meningkatkan standar dan praktik terbaik Melacak ketika mereka berurusan dengan data pelanggan. Banyak orang jahat menghasilkan uang dengan membeli dan menjual informasi yang tertinggal di awan.”
“Spesialis budaya pop. Ahli makanan yang setia. Praktisi musik yang ramah. Penggemar twitter yang bangga. Penggila media sosial. Kutu buku bepergian.”
More Stories
Visi Asia 2021 – Masa Depan dan Negara Berkembang
Ketenangan yang aneh menyelimuti penangkapan mantan penduduk Delft di Indonesia – seorang jurnalis kriminal
Avans+ ingin memulihkan jutaan dolar akibat kegagalan pelatihan dengan pelajar Indonesia