时尚零售商BrandBQ泄露1T的客户+承包商数据

时尚零售商BrandBQ泄露1T的客户+承包商数据

该数据库托管在配置错误的Elasticsearch服务器上。

现在,数据库泄漏已成为一种普遍现象,几乎每天都在发生泄漏。
最近,来自vpnMentor的研究人员报告了由于配置错误的Elasticsearch服务器而于2020年6月28日发现的新数据库泄漏。

研究人员将数据库归因于BrandBQ,这是一家波兰的在线时装零售公司,也恰好有实体店。仅在Android上进行的下载量就超过500,000,而在iOS上进行的安装,受影响的用户数量是巨大的,估计多达670万人。

这些用户主要位于7个东欧国家,例如波兰,罗马尼亚,匈牙利,保加利亚,斯洛伐克和捷克共和国。

所泄露的数据总计超过1 TB涉及10亿条记录,并且包括公司客户的一系列个人身份信息(PII),例如全名电子邮件地址电话号码以及不带卡号的付款明细

但这还不是全部,还泄露了其本地承包商的机密细节,这些细节超出了前面提到的PII,此外还包括增值税号,付款方式,包裹接收者的姓名以及与订单相关的购买信息。

另一方面,与通常情况相反,此处又泄漏了另一层数据,其中有4900万个条目。其中涉及有关公司数据库的结构以及如何应对诸如系统错误和列入黑名单的电子邮件之类的方案的详细信息,所有这些都可以被未来的攻击者利用,以发挥其优势。

由于Elasticsearch服务器具有在线公开数据的悠久历史,因此此事件不足为奇  。此外,错误配置的数据库在过去几年中暴露了数十亿条敏感记录。

vpnMentor在他们的博客文章中进一步补充说,

“除了BrandBQ的专有网站之外,该数据库还包含来自iOS和Android上Answear移动应用程序的API调用日志。这些信息揭示了用户在应用程序上执行的所有操作以及其PII数据。”

总而言之,研究人员按照常规做法接触了母公司的品牌Answear和WearMedicine,他们认为这受到了影响。

结果,它得到了父品牌BrandBQ的认可,后来在8月20日(不到一个月)发布了一个补丁,这意味着数据库现在是安全的。

无论如何,建议所有用户更改其密码,并注意可能导致网络钓鱼和其他形式的社会工程攻击。

此外,BrandBQ本身也需要对以下事实保持警惕:暴露的数据可用于为其竞争对手带来好处,尤其是在我们今天生活的数据密集型世界中。

因此,应对这种策略的工作应该是针对他们,同时还要对员工进行充分的最佳安全实践培训。

from