化妆品巨头雅芳遭遇数据泄露，1900 万条数据记录已暴露 9 天

全球化妆品巨头雅芳（Avon）最近因云服务器配置错误泄漏了1900万条记录，其中包括个人信息和技术日志。

SafetyDetectives的研究人员发现雅芳在Azure服务器上的Elasticsearch数据库公开暴露，且没有密码保护或加密。

SafetyDetectives在随后的一份报告中解释说：“该漏洞实际上意味着拥有服务器IP地址的任何人都可以访问公司的开放数据库。”

总部位于伦敦的雅芳公司在全球范围内的年销售额超过55亿美元，此次暴露的7GB数据于6月12日被安全公司发现之前已经暴露了9天。

暴露的数据库包含有关客户和员工的个人身份信息（PII），包括全名、电话号码、生日、电子邮件和家庭住址以及GPS坐标。此外包括40,000多个安全令牌、OAuth令牌、内部日志、账户设置和技术服务器信息。

根据SafetyDetectives的说法，虽然可以利用PII进行各种各样的身份欺诈和后续的网络钓鱼诈骗，但暴露的技术细节也给雅芳自身带来了风险。

“鉴于提供的敏感信息的类型和数量，黑客将能够掌握完全的服务器控制权并实施严重破坏性的行动，这些行动能永久性地损害雅芳品牌，暴露勒索软件攻击并使公司的支付基础设施瘫痪。”

有趣的是，6月9日向美国证券交易委员会提交的文件显示，雅芳提及“在其信息技术环境中发生了网络事件，该事件中断了某些系统并部分影响了运营”。

雅芳在6月12日的第二次申明中指出，该公司正计划重启系统。

SafetyDetectives透露：“雅芳正在继续调查以确定事件的程度，包括潜在的泄露的个人数据。”“尽管如此，由于它的主要电子商务网站未存储该信息，因此目前尚无法预料信用卡详细信息会受到影响。”