近日,据安全研究人员爆料,知名化妆品雅诗兰黛的官方服务器遭到黑客攻击,导致其未加密的云数据库数据泄露,该数据库包含数亿条客户记录和内部日志。
研究人员称,数据泄露的原因是雅诗兰黛的云服务器中间件被曝光,没有攻击者或恶意软件提供了入侵雅诗兰黛应用程序和用户数据的第二条路径。
安全研究人员耶利米·福勒(Jeremiah Fowler)说,在数据泄露事件中,共有440336852个用户的敏感数据被泄露,其中许多是包含用户明确电子邮件地址的重要隐私信息。更重要的是,内部电子邮件地址雅诗兰黛的域名@Estee。还包括Com。此外,泄露的数据还包括雅诗兰黛内容管理系统(CMS)和服务器中间件活动的日志条目。幸运的是,根据目前安全研究人员的法医数据,在数据泄露事件中没有暴露用户支付数据或员工敏感信息。
“雅诗兰黛已经家喻户晓70多年了,其在2019年的收入约为147.63亿美元,”安全研究员耶利米·福勒(Jeremiah Fowler)在他的安全报告中写道。因此,公司一定会拥有与其业务相关的大型数据集或数据库,这也符合业务逻辑。数据泄露事件涉及大量消费者电子邮件地址,我们在发现事件后立即向雅诗兰黛报告了事件详情。据统计,在此次数据泄露事件中,共泄露用户敏感数据440336852条。”
“根据目前的分析,我只能推测或假设这些电子邮件地址来自雅诗兰黛的在线销售渠道,”福勒在一次采访中说,安全研究人员指出,至于其他泄露的数据,他们中的大多数人都能为未来的大规模网络攻击做好准备,因为他们已经完成了网络侦察的早期阶段。例如,泄露的日志记录包含雅诗兰黛网络服务器的IP地址、端口、路径和存储信息,攻击者可以利用这些信息绘制雅诗兰黛内部的局域网或广域网结构,以及公司用来连接不同数据生成设备的中间件的详细信息。
中间件通常负责提供一致的前端结构的类似任务,这些数据管理前端需要实现其跨不同内部系统、应用服务、消息、身份认证和API管理的功能。
“公开的或不受保护的中间件可以为恶意软件入侵目标应用程序或通过这个二级路径窃取目标数据提供一个二级路径,”Jeremy Fowler解释道。在这种情况下,任何联网用户都可以查看可用作网络后门的当前系统或软件版本、路径地址和其他数据。”
安全研究员杰里米·福勒发现数据泄露后,在几个小时内打了很多电话,发了几封电子邮件,福勒得以向雅诗兰黛的安全团队发送信息,数据库也于当天离线关闭。福勒说,目前尚不清楚雅诗兰黛的数据库被入侵多长时间,也不清楚这段时间谁访问过这些记录。因此,大多数雅诗兰黛的客户都应该在这段时间和将来对网络钓鱼邮件保持警惕。
knowbe4的安全意识倡导者Erich Kron在一封电子邮件中说:“雅诗兰黛发生的数据泄漏事件足以证明一个非常简单的错误可能会产生非常严重的后果,就像这次,雅诗兰黛的员工在共享驱动器或数据库中设置了错误的权限”然而,他还赞扬了雅诗兰黛对安全小组的快速反应。这对其他公司也是一个教训。许多大型组织应根据现有的网络情况,完善其网络安全事件响应机制,以快速解决数据泄露等安全问题。特别是在这个网络技术如此发达的时代,数以百万计的记录可以存储在一个地方,任何人都可以在任何时候从世界的任何角落读取它们。克朗还说,他承认雅诗兰黛反应迅速,因为像她这样的许多其他大型机构行动太慢,无法付诸行动。
由于错误配置导致的数据库泄漏是当前Internet上非常普遍的现象。许多存储大量数据的大公司也无法“回避和困难”。例如,今年1月,据报道,微软云数据库中有2.5亿条数据记录因配置错误而泄露,泄露时间长达25天。一些泄露的数据和用户账户可以追溯到2005年,而最新的用户数据是2019年12月。毫无疑问,这些泄露的数据将使用户面临网络钓鱼攻击和欺诈活动的威胁。
【编辑推荐】
安企神软件系统加密软件–企业文件防泄密专家!防拷贝复制、防文件传播泄露!轻松实现单位内部文件自动加密保护,加密后的文件在单位内部正常流转使用。未经许可,任何私自拷贝加密文件外发出去,都将打开为乱码,无法使用!
对于发送给客户等第三方的文件,可实现控制打开时间和打开次数等防泄密参数!同时可设置对员工电脑文件自动备份,防止恶意删除造成核心数据的遗失!从源头防止企业核心文件被外泄!
相关内容:加密软件,文件加密,文档加密,图纸加密软件,防泄密软件,CAD加密软件,企业文件加密
局域网监控软件可以监控外网吗?一文解析
如今,随着数字办公的日益普及,局域网监控软件已经成为企业网络管理不可或缺的一部分。然而,局域网监控软件能否监控外网一直困扰着许多企业网络工程师。本文将深入探讨这一问题,分析局域网监控软件在外网监控中能力与局限性。一、局域网监控软件的主要功能局域网监控软件是一种基于桌面管理软件和监控系统的综合监控工具。它通常具有以下基本...
安企神网络安全准入系统
安企神软件网络安全准入系统是一种高效、灵活、易于管理的网络密钥管理解决方案,旨在为公司网络环境提供全面的安全保障。通过身份认证、健康体检和安全设置评定,此系统保证只有授权的设备与用户才能浏览公司的内部网络资源,进而最大限度地降低安全隐患。一、网络安全准入系统主要功能1、用户身份认证安企神网络准入系统选用严格的身份认证机...
网络准入设备:守护企业数字资产的第一道防线
在数字时代,公司网络如同公司的神经系统,连接着每个业务单元,背负着数据的流动与价值的转换。但是,随着网络环境的日益繁杂,网络威协也非常大。怎样确保公司网络的安全平稳已成为每家企业必须面对的挑战。做为这条防线的门将,网络准入设备发挥了越来越重要的作用。一、什么叫网络准入设备?网络准入设备是一种专门给控制和管理网络设备访问...
企业数据防泄密软件有哪些?企业数据防泄密软件大盘点
在当今数字时代,公司数据的安全至关重要。为了保护公司的核心资产和客户资料免遭威胁,很多企业都在寻找高效的数据防泄密软件。今天我们就来盘点一下市场上广受好评的几款公司数据防泄密软件,帮助大家更好的了解和选择适合自己公司的防泄漏解决方案。一、安企神软件安企神软件集数据加密、密钥管理、行为审计等多种功能于一体,为用户提供全方...
揭秘数据加密系统的加密过程
在数字时代,数据安全已是企业和个人不可忽视一个重要难题。数据加密系统做为数据安全重要防御,在加密过程中非常重要。本文将详尽揭露数据加密的全面加密过程,以帮助您更好的了解这一关键要素。一、数据加密系统的前提数据加密系统通常包括三个核心部分:加密算法、密钥管理与信息加密破译过程。加密算法是数据加密的关键,它决定了如何把明文...