Tarte Cosmetics: Οι χάκερς Cru3lty κατέχουν 2 εκατ δεδομένα πελατών μας

Tarte Cosmetics: Οι χάκερς Cru3lty κατέχουν 2 εκατ δεδομένα πελατών μας

Tarte Cosmetics: Οι χάκερς Cru3lty κατέχουν 2 εκατ δεδομένα πελατών μας.

Ακόμα μια τεράστια διαρροή δεδομένων έχει έρθει στο φως, η οποία εκθέτει τις προσωπικές πληροφορίες εκατομμυρίων ανθρώπων. Η Tarte Cosmetics, θεωρούμενη ως μία από τις κορυφαίες στα προϊόντα ομορφιάς, εξέθεσε τα προσωπικά δεδομένα σχεδόν δύο εκατομμυρίων πελατών στο κοινό μέσω δύο μη ασφαλισμένων βάσεων δεδομένων.

Η Tarte Cosmetics με έδρα τη Νέα Υόρκη είναι γνωστό τοις πάσι πως τα καλλυντικά προϊόντα της γνωρίζουν τεράστια αποδοχή από το γυναικείο πληθυσμό και πωλούνται σε μεγάλα καταστήματα, όπως η Sephora και στην Macy’s Ulta. Η εταιρεία προσφέρει τα καλλυντικά της και σε χώρες όπου τα προϊόντα της δεν είναι διαθέσιμα στα φυσικά καταστήματα, με την δυνατότητα ηλεκτρονικών αγορών.

Τα δεδομένα που προέκυψαν από τυχαία διαρροή επηρέασαν τους online πελάτες της Tarte. Τα ευαίσθητα δεδομένα τόσο των αμερικανικών όσο και των διεθνών πελατών της που πραγματοποίησαν online αγορές μεταξύ 2008 και 2017, αφέθηκαν δημόσια μέσω δύο μη ασφαλών βάσεων δεδομένων MongoDB.

Τα δεδομένα που εκτέθηκαν περιλαμβάνουν ονόματα πελατών, διευθύνσεις, ηλεκτρονικά μηνύματα, ιστορικό αγορών και τα τελευταία τέσσερα ψηφία των πιστωτικών καρτών. Σύμφωνα με τον ερευνητή της Kromtech, Bob Diachenko, η Kromtech αποκάλυψε την παραβίαση στις 18 Οκτωβρίου και απέστειλε στην Tarte αρκετές ειδοποιήσεις ασφαλείας. Παρόλο που η εταιρεία απέφυγε να απαντήσει στην Kromtech, στις 20 Οκτωβρίου, όλες οι βάσεις δεδομένων που συνδέονταν με την επιχείρηση επανήλθαν σε φυσιολογική κατάσταση.

Οι δύο βάσεις δεδομένων MongoDB που περιείχαν τα δεδομένα των πελατών της Tarte “δημιουργήθηκαν χωρίς τα κατάλληλα μέτρα ασφαλείας” με τις επιλογές ασφαλείας να έχουν ρυθμιστεί ως σε “δημόσιες” αντί για “ιδιωτικές”, γεγονός που με τη σειρά του άφησε τα δεδομένα διαθέσιμα στο διαδίκτυο για να τα εκμεταλλευτεί ο κάθε κακεντρεχής.

“Σχεδόν κάθε εβδομάδα φαίνεται να υπάρχει μια μαζική διαρροή δεδομένων, με παραβιάσεις ασφαλείας που εκθέτουν ευαίσθητες πληροφορίες πελατών”, ανέφερε ο Diachenko σε μία δημοσίευση στο blog του.

Η Cru3lty είχε πρόσβαση στα εκτεθειμένα δεδομένα.

Οι ερευνητές ασφάλειας της Kromtech ίσως να μην ήταν οι μόνοι που σκόνταψαν σε αυτή την περίεργη υπόθεση. Ο Diachenko δήλωσε ότι οι ευαίσθητες πληροφορίες έπεσαν στα χέρια μιας αδίστακτης ομάδας ransomware που φέρει την ονομασία Cru3lty. Οι χάκερ “άφησαν ένα τυπικό σημείωμα για λύτρα μέσα στη βάση δεδομένων απαιτώντας 0.2 Bitcoins για την ανάκτηση της βάσης δεδομένων “.

Οι ερευνητές της ασφάλειας διαπίστωσαν ότι η Cru3lty κατάφερε να καταλάβει πάνω από 20.000 ευάλωτους διακομιστές MongoDB νωρίτερα αυτό το χρόνο. Η συνήθης τακτική διαδικασία των hackers είναι να αποκτούν τα δεδομένα και στη συνέχεια να ζητούν λύτρα σε αντάλλαγμα για την επιστροφή των δεδομένων. Εντούτοις, στην περίπτωση αυτή, για ένα περίεργο λόγο τα δεδομένα της Tarte φαίνεται ότι παρέμειναν άθικτα.

Παραμένει ασαφές αν οι χάκερς έχουν έρθει σε επαφή με την Tarte Cosmetics για να πάρουν τα λύτρα. Επίσης, είναι ασαφές για πόσο καιρό τα δεδομένα παρέμειναν εκτεθειμένα στο διαδίκτυο.

«Στην Tarte, η διατήρηση της ασφάλειας των πελατών μας είναι η πρώτη μας προτεραιότητα. Γνωρίζουμε αυτό το πιθανό ζήτημα, το οποίο διερευνούμε ενεργά”, ανέφερε ο Gizmodo, James Novara, αντιπρόεδρος της Tarte και υπεύθυνος για το ηλεκτρονικό εμπόριο και την πληροφορική της εταιρείας. “Παράλληλα, λαμβάνουμε όλα τα διαθέσιμα μέτρα για να διασφαλίσουμε ότι έχουμε το υψηλότερο επίπεδο προστασίας για όλα τα εταιρικά δεδομένα και ενημερώνουμε τους πελάτες και τους συνεργάτες μας, όταν καταστεί αναγκαίο».

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Παρακαλώ εισάγετε το σχόλιο σας!
Παρακαλώ εισάγετε το όνομά σας