Luxus gyermekdivat e-kereskedelmi webhely vásárlókat kínál világszerte

Intro

A Biztonsági nyomozók A biztonsági csapat adatsértést fedezett fel, amely a melijoe.com francia gyermekdivat e-kereskedelmi webhelyet érintette.

A Melijoe egy franciaországi székhelyű, csúcskategóriás gyermekdivat-kiskereskedő. A cég tulajdonában lévő Amazon S3 gyűjtőhely hitelesítési vezérlők nélkül hozzáférhetővé vált, amivel potenciálisan több százezer ügyfél számára tettek közzé érzékeny és személyes adatokat.

A Melijoe globális hatókörrel rendelkezik, és ennek következtében ez az incidens hatással van a világ minden táján található ügyfelekre.

Mi az a Melijoe?

A 2007-ben alapított melijoe.com egy e-kereskedelmi divatárusító, amely luxus gyermekruházatra szakosodott. A cég lányoknak, fiúknak és babáknak kínál ruhákat. A Melijoe.com olyan vezető márkákat is tartalmaz, mint a Ralph Lauren, a Versace, a Tommy Hilfiger és a Paul Smith Junior.

A „Melijoe”-t a hivatalosan BEBEO néven bejegyzett társaság üzemelteti, amelynek központja Párizsban, Franciaországban található. A MELIJOE.COM szerint a BEBEO jegyzett tőkéje körülbelül 950,000 1.1 euró (~12.5 millió USD). A Melijoe szolgáltatás 14 millió eurót (~2 millió USD) termelt XNUMX finanszírozási kör alatt (a Crunchbase szerint).

A Melijoe 2020 végén egyesült a prominens svéd gyermekdivat-konszernnal, a Babyshop Grouppal (BSG), amely 1 milliárd SEK (~113 millió USD) éves forgalmat bonyolít le számos főutcai és e-kereskedelmi üzletben.

Számos mutató megerősíti, hogy a Melijoe/BEBEO hatással van a nyitott Amazon S3 kanálra. Míg a márkák, születési dátumok és a kosárban található egyéb tartalmak azt sugallják, hogy a tulajdonos francia gyermekdivat-kereskedő, a „Bebeo”-ra is utalás található. A legfontosabb, hogy a vödör a melijoe.com webhelytérképeit tartalmazza:

Mi volt kitéve?

Összességében a melijoe.com rosszul konfigurált Amazon S3 tárolója majdnem 2 millió fájlt tett közzé, összesen körülbelül 200 GB adatot.

A vödörben lévő néhány fájl több százezer naplót tett közzé, amelyek tartalmazzák a érzékeny adatok és a személyazonosításra alkalmas adatok (PII) of Melijoe ügyfelei.

Ezek a fájlok különböző adatkészleteket tartalmaztak: Preferenciák, kívánságlisták, és a vásárlások.

Más fájltípusok is voltak a vödörben, beleértve szállítási címkék és néhány adat a melijoe.com termékkészletével kapcsolatban.

preferenciák

preferenciák adatok exportálásra kerültek az ügyfélszámlákból. Az adatok feltárták a fogyasztók ízlésének, tetszéseinek és nemtetszésének részleteit a vásárlási döntéseiket illetően. Ott volt több tízezer rönk egy fájlon található.

preferenciák kitett formái ügyfél PII és a érzékeny ügyféladatok, beleértve:

• Email címek
• Gyermekek nevei
• Nemek
• Születési dátumok
• A márkák preferenciái

A preferenciaadatok vásárlási adatokon és helyszíni kattintásokon keresztül gyűjthetők. A beállításokat gyakran használják az egyes vásárlók termékajánlásának személyre szabására.

Láthatja a preferenciák bizonyítékát részben megadott elérhetőségeken.

Kívánságlista

Kívánságlista Az adatok az ügyfelek helyszíni kívánságlistáiról tártak fel részleteket – a kívánt termékek gyűjteményét, amelyet az egyes vásárlók válogattak össze. Úgy tűnik, hogy ezeket az információkat ismét ügyfélszámlákból vették. Ott volt több mint 750,000 XNUMX rönk egy fájlon a overhez tartozó adatokkal 63,000 XNUMX egyedi felhasználó e-mail címe.

Kívánságlista kitett formái ügyfél PII és a érzékeny ügyféladatok:

• Email címek
• A termékek kívánságlistára való felvételének dátuma
• A termékek eltávolításának dátuma a kívánságlistákról (ha eltávolították)
• cikk kódjai, termékek belső azonosítására használják

A kívánságlistákat maguk az ügyfelek hozták létre, nem a helyszíni viselkedés nyomon követésével. A kívánságlisták egy tételtől a több ezer tételig terjedtek. A hosszabb kívánságlisták lehetővé teszik, hogy többet tudjon meg az ügyfelek kedvenc termékeiről.

A következő képernyőképek a kívánságlisták bizonyítékait mutatják be.

Vásárlások

Vásárlások adatok mutatkoztak 1.5 millió elem bevásárolt több százezer megrendelés. Parancsok érkeztek tőle több mint 150,000 XNUMX egyedi e-mail cím egyetlen fájlon.

Vásárlások kitett ügyfél PII és a érzékeny ügyféladatok, Beleértve a következőket:

• Email címek
• A megrendelt cikkek cikkszáma
• A rendelés leadásának ideje
• Megrendelések pénzügyi adatai, incl. fizetett árak és pénznem
• Fizetési módok, azaz Visa, PayPal stb
• Kézbesítési információ, inc. szállítási címek és szállítási dátumok
• Számlázási címek

Vásárlások adatok látszólag a legtöbb felhasználót érintették a másik két adatkészlethez képest. Ezek a naplók részletesen részletezik a Melijoe vásárlóinak vásárlási magatartását. Ez ismét olyan személyes információkat tár fel, amelyek felhasználhatók a fogyasztók ellen.

Egyes ügyfelek nagyszámú terméket vásároltak, míg mások csak egy vagy két terméket vásároltak. A kívánságlistákhoz hasonlóan az ügyfelek, akik több terméket rendeltek, több információt kaptak kedvenc termékeikről.

Az alábbi képernyőképek a vásárlási naplók bizonyítékait mutatják be.

Szállítási címkék

Melijoe AWS S3 vödörében szállítási címkék. A szállítási címkéket a Melijoe vásárlóinak rendeléseihez társították. Több mint 300 ilyen fájl volt a vödörben.

Szállítási címkék számos példát mutatott be ügyfél személyazonosító adatai:

• Teljes nevek
• Telefonszámok
• Szállítási címek
• Termék vonalkódjai

Az alábbiakban egy vevő rendelésének szállítási címkéjét láthatja.

 

Melijoe vödrében a fent említett adatokon kívül Melijoe-val kapcsolatos információk is voltak. termék katalógus és a készletszintek.

Etikai okokból csak egy mintát tudtunk elemezni a vödör tartalmából. Tekintettel a tárolóban tárolt fájlok nagy számára, az érzékeny adatoknak számos más formája is megjelenhet.

Melijoe Amazon S3 tárolója éles volt, és a felfedezés időpontjában frissült.

Fontos megjegyezni, hogy az Amazon nem kezeli Melijoe tárolóját, és ezért nem felelős a hibás konfigurációért.

A Melijoe.com globális vevőkörnek ad el termékeket, és így a világ minden tájáról érkező vásárlók kerültek a nem biztosított gyűjtőkörbe. Elsősorban a francia, orosz, német, egyesült királyságbeli és egyesült államokbeli ügyfeleket érinti.

Becsléseink szerint akár 200,000 3 embernek is nyilvánosságra került az információja a Melijoe nem biztosított Amazon SXNUMX tárolóján. Ez a szám azon egyedi e-mail címek számán alapul, amelyeket a gyűjtőhelyen láttunk.

Melijoe adatainak teljes lebontását az alábbi táblázatban tekintheti meg.

A közzétett fájlok száma	Nearly 2 million files
Az érintett felhasználók száma	Akár 200,000
A közzétett adatok mennyisége	200 GB körül
A vállalat elhelyezkedése	Franciaország

A vödör olyan fájlokat tartalmazott, amelyeket 2016 októbere és a felfedezésünk dátuma – 8. november 2021. – között töltöttek fel.

Megállapításaink szerint a több éven át készült vásárlásokhoz és kívánságlistákhoz kapcsolódó fájlok adatai. A Melijoe vödrében részletezett vásárlások 2013 májusa és 2017 októbere között történtek, míg a kívánságlisták 2012 októbere és 2017 októbere között készültek.

12. november 2021-én üzenetet küldtünk Melijoe-nak a nyitott vödrével kapcsolatban, 22. november 2021-én pedig további üzenetet küldtünk néhány régi és új Melijoe kapcsolattartónak. 25. november 2021-én megkerestük a francia Computer Emergency Response Team-et (CERT) és az AWS-t, és 15. december 2021-én további üzeneteket küldtünk mindkét szervezetnek. A francia CERT válaszolt, és mi felelősségteljesen nyilvánosságra hoztuk a jogsértést. A francia CERT azt mondta, hogy felveszik a kapcsolatot Melijoe-val, de soha többé nem hallottunk felőlük.

5. január 2022-én felvettük a kapcsolatot a CNIL-lel, és 10. január 2022-én követtük a nyomon követést. A CNIL egy nappal később válaszolt, és közölte, hogy „az üggyel a szolgálataink foglalkoznak”. 10. január 2022-én felvettük a kapcsolatot a francia CERT-vel is, aki azt mondta: „Sajnos sok emlékeztető után a vödör tulajdonosa nem válaszolt üzeneteinkre.”

A vödröt 18. február 2022-án biztosították.

Mind a melijoe.com, mind ügyfelei hatással lehetnek az adatok nyilvánosságra hozatalára.

Az adatszivárgás hatása

Nem tudjuk, és nem is tudjuk, hogy rosszindulatú szereplők hozzáfértek-e a Melijoe nyitott Amazon S3 tárolójában tárolt fájlokhoz. Jelszavas védelem hiányában azonban a melijoe.com tárolója könnyen elérhető volt bárki számára, aki megtalálta az URL-címét.

Ez azt jelenti, hogy egy hacker vagy bűnöző elolvashatta vagy letölthette a vödör fájljait. A rossz színészek a kiberbűnözés különböző formáival célozhatják meg a kitett Melijoe ügyfeleket, ha ez a helyzet.

Melijoe az adatvédelmi jogsértések miatt is vizsgálat alá kerülhet.

Hatás az ügyfelekre

A melijoe.com kitett ügyfeleit kiberbűnözés veszélye fenyegeti ezen adatszivárgás miatt. Az ügyfelek számos példát láthatnak a személyes és érzékeny adatokra a kosárban.

Amint már említettük, a nagyobb kívánságlistákkal vagy nagyobb vásárlási előzményekkel rendelkező ügyfelek több információt kaptak kedvenc termékeikről. Ezek a személyek személyre szabottabb és részletesebb támadásokkal szembesülhetnek, mivel a hackerek többet megtudhatnak tetszéseikről és nemtetszéseikről. Ezeket az ügyfeleket is meg lehet célozni azon feltételezés alapján, hogy gazdagok, és megengedhetik maguknak, hogy sok csúcskategóriás terméket vásároljanak.

Adathalászat és rosszindulatú programok

A hackerek a kitett Melijoe ügyfeleket célozhatják meg adathalász támadások és rosszindulatú programok ha hozzáfértek a vödör fájljaihoz.

Melijoe Amazon S3 tárolója csaknem 200,000 XNUMX egyedi ügyfél e-mail címét tartalmazta, amelyek a potenciális célpontok hosszú listáját nyújthatják a hackereknek.

A hackerek kapcsolatba léphetnek ezekkel az ügyfelekkel, miközben a melijoe.com törvényes alkalmazottjának adják ki magukat. A hackerek hivatkozhatnak a több nyilvánosságra hozott részlet bármelyikére, hogy narratívát építsenek az e-mail köré. Például a hacker hivatkozhat egy személy preferenciáira/kívánságlistájára, hogy meggyőzze az ügyfelet arról, hogy üzletet ajánlanak neki.

Ha az áldozat megbízik a hackerben, a rossz színész adathalász kísérleteket és rosszindulatú programokat indíthat el.

Az adathalász támadások során a hacker a bizalmat kihasználva érzékenyebb és személyesebb információkat kényszerít ki az áldozattól. A hacker meggyőzheti az áldozatot, hogy tegye közzé például hitelkártya-azonosító adatait, vagy kattintson egy rosszindulatú hivatkozásra. Ha rákattintottak, az ilyen hivatkozások rosszindulatú programokat tölthetnek le az áldozat eszközére – olyan rosszindulatú szoftvereket, amelyek lehetővé teszik a hackerek számára az adatgyűjtés és a kiberbűnözés más formáit.

Csalás és csalások

A hackerek a kitett ügyfeleket is megcélozhatják csalások és csalások ha hozzáfértek a vödör fájljaihoz.

A kiberbűnözők e-mailben megcélozhatják a kiszolgáltatott ügyfeleket, és a vödörből származó információkat felhasználva megbízható személynek tűnhetnek, és megalapozott indoka van a kapcsolatfelvételre.

A hackerek kihasználhatják a célpont bizalmát csalásra és csalásra – olyan rendszerekre, amelyek célja, hogy az áldozatot pénz átadására csalják ki. Például a hacker felhasználhatja a megrendelés adatait és a szállítási információkat a kézbesítési csaláshoz. Itt a hacker megkérheti az áldozatokat, hogy fizessenek hamis szállítási díjat az áruk átvételéért.

Hatás a melijoe.com-ra

Melijoe jogi és büntetőjogi következményeket is szenvedhet az adatincidens következtében. A cég rosszul konfigurált Amazon S3 tárolója megsérthette az adatvédelmi törvényeket, míg más vállalkozások a melijoe.com költségén hozzáférhetnek a vödör tartalmához.

Adatvédelmi megsértések

A Melijoe megsérthette az EU általános adatvédelmi rendeletét (GDPR), mivel a cég vödrét rosszul konfigurálták, így nyilvánosságra kerültek ügyfelei adatai.

A GDPR védi az uniós polgárok érzékeny és személyes adatait. A GDPR szabályozza a vállalatokat az ügyfelek adatainak gyűjtésére, tárolására és felhasználására vonatkozóan, és az adatok nem megfelelő kezelése a rendelet értelmében büntetendő.

A Commission nationale de l'informatique et des libertés (CNIL) Franciaország adatvédelmi hatósága, és felelős a GDPR betartatásáért. Melijoe a CNIL felügyelete alá kerülhet. A CNIL maximum 20 millió euró (~23 millió USD) vagy a vállalat éves forgalmának 4%-a (amelyik nagyobb) bírságot szabhat ki a GDPR megsértése miatt.

A Melijoe nyitott Amazon S3 tárolója nemcsak az uniós polgárok adatait tette közzé, hanem a világ különböző országaiból érkező ügyfelek adatait is. Emiatt a melijoe.com a CNIL-en kívül számos más joghatóságtól is büntethető. Például az Egyesült Államok Szövetségi Kereskedelmi Bizottsága (FTC) dönthet úgy, hogy kivizsgálja a melijoe.com webhelyet az FTC-törvény esetleges megsértése miatt, az Egyesült Királyság Információs Biztosának Hivatala (ICO) pedig a melijoe.com webhelyet vizsgálhatja az irányelv esetleges megsértése miatt. 2018. évi adatvédelmi törvény.

Mivel Melijoe gyűjtőhelyén számos más kontinensről származó ügyfelek is vannak, számos adatvédelmi hatóság dönthet úgy, hogy megvizsgálja a melijoe.com webhelyet.

Versenykémkedés

A nyilvánosságra került információkat a hackerek összegyűjthetik, és eladhatják az adatok iránt érdeklődő harmadik feleknek. Ide tartozhatnak azok a vállalkozások, amelyek a melijoe.com versenytársai, például más ruhakereskedők. A marketingügynökségek értéket is láthatnak a csoport adataiban.

A rivális vállalkozások felhasználhatják az adatokat a végrehajtásra versenykémkedés. A versenytársak különösen hozzáférhettek a melijoe.com ügyféllistájához, hogy potenciális ügyfeleket találjanak saját vállalkozásukhoz. A rivális vállalkozások ajánlatokkal fordulhatnak a kitett ügyfelekhez, hogy megpróbálják ellopni az üzletet Melijoe-tól, és megerősítsék saját ügyfélbázisukat.

Adatexpozíció megelőzése

Mit tehetünk adataink biztonságának megőrzése és a kitettség kockázatának csökkentése érdekében?

Íme néhány tipp az adatok expozíciójának elkerülésére:

• Csak olyan személyeknek, szervezeteknek és entitásoknak adja meg személyes adatait, akikben teljes mértékben megbízik.
• Csak biztonságos domainnel rendelkező webhelyeket látogasson el (azaz olyan webhelyeket, amelyek domainnevük elején „https” és/vagy zárt lakat szimbólum található).
• Legyen különösen óvatos, amikor megadja legérzékenyebb adatait, például társadalombiztosítási számát.
• Készítsen feltörhetetlen jelszavakat, amelyek betűk, számok és szimbólumok keverékét használják. Rendszeresen frissítse meglévő jelszavait.
• Ne kattintson egy linkre e-mailben, üzenetben vagy bárhol máshol az interneten, hacsak nem biztos abban, hogy a forrás jogos.
• Módosítsa adatvédelmi beállításait a közösségi oldalakon, hogy csak ismerősei és megbízható felhasználók lássák tartalmait.
• Kerülje a fontos adatok (például hitelkártyaszámok vagy jelszavak) megjelenítését vagy beírását, amikor nem biztonságos WiFi-hálózathoz csatlakozik.
• Tanuljon meg a kiberbűnözésről, az adatvédelemről és azokról a módszerekről, amelyek csökkentik annak esélyét, hogy adathalász támadások és rosszindulatú programok áldozatává váljon.

Rólunk

SafetyDetectives.com a világ legnagyobb vírusirtó áttekintő webhelye.

A SafetyDetectives kutatólabor egy pro bono szolgáltatás, amelynek célja, hogy segítse az online közösséget a kiberfenyegetések elleni védekezésben, miközben oktatja a szervezeteket a felhasználók adatainak védelméről. Web -térképészeti projektünk átfogó célja, hogy segítse az internetet biztonságosabbá tenni minden felhasználó számára.

Korábbi jelentéseink számos nagy horderejű sebezhetőséget és adatszivárgást hoztak napvilágra, köztük 2.6 millió felhasználót, akiket egy Az IGBlade amerikai közösségi elemző platform, valamint az a Brazil Marketplace Integrator platform, Hariexpress.com.br amely több mint 610 GB adatot szivárgott ki.

A SafetyDetectives elmúlt 3 év kiberbiztonsági jelentéseinek teljes áttekintéséhez kövesse az alábbiakat  A SafetyDetectives kiberbiztonsági csapata.

• Coinsmart. Európa legjobb Bitcoin- és kriptográfiai tőzsdéje.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. SZABAD HOZZÁFÉRÉS.
• CryptoHawk. Altcoin radar. Ingyenes próbaverzió.
• Forrás: https://www.safetydetectives.com/news/melijoe-leak-report/