体育零售商迪卡侬左雇员数据暴露
体育用品零售商迪卡侬已成为最新的高调企业,以遭受Misconpd云服务产生的数据泄漏,在留下12300万次记录,总共超过9GB的无担保ELASTICSEARCH服务器。
这些数据主要与法国零售商的西班牙商业有关,也可能影响英国,由Noam Rotem和VPnmentor的安全研究团队的Ran Locar揭示,他们一直在进行广泛的Web映射项目,突出了云存储服务的广泛问题保持不受保护。
“泄露的数据库包含一个员工数据的名副其实的宝库,”披露中的Rotem和Locar说。“它有一个恶意黑客将在理论上需要使用来接管帐户并获得私人和甚至专有信息的一切。”
数据包括员工系统用户名,未加密的密码,API日志,API用户名和未加密密码。
它还持有与员工有关的个人身份信息(PII),包括其名称,国籍,生日,电话号码,地址,教育细节和资格和合同信息。
客户详细信息包括未加密的电子邮件和登录信息,私有IP地址,登录尝试和API详细信息。
迪卡侬于2020年2月16日通知泄漏,数据库于2月17日获得救助,但现在公司可能会大幅增加企业间谍活动,账户收购和有针对性的网络钓鱼企图的风险,而有关员工的足够信息是容易披露的使网络犯罪分子能够窃取他们的身份。
还存在身体威胁的风险。因为员工的工作角色和地点的数据包括在数据库中,如果例如,特别是令人难过的客户是掌握这些信息,他们的个人现实世界安全可能会受到危险。
“如果他们采取了一些基本的安全措施来保护数据库,请轻松避免这种泄漏,”Rotem和Locar说。“这些包括但不限于:保护您的服务器,实现正确的访问规则,并不留下不需要对Internet打开身份验证的系统。”
CENSORNET CEO ED MARNAIR说:“这种违规的规模不仅对替代品非常令人尴尬,而且对已经有风险的员工和客户非常令人尴尬。公开的细节包括关键的个人身份信息,例如社会安全号码,全名和地址,并提供网络犯罪的一切,他们需要启动目标攻击。除了潜在的网络安全后果之外,由于他们的家庭地址也暴露,他们的身体安全也可能面临风险。
“这是一系列长线组织中的最新组织,这些组织已经堕落了无抵押云数据库。随着更多组织将数据移动到云端,必须必须了解这具有更大的职责和不同的安全挑战。谈到云基础架构配置时,只需要一个要暴露的大量敏感数据的人为错误的一个实例。“
麦克纳尔补充说:“各种规模的公司需要通过实施技术来负责他们存储的数据,这些技术为他们提供了可见性和控制云中处理敏感数据。防止泄漏的关键是一种多层安全姿势,将最佳实践政策和员工意识与合适的技术结合在一起。“