אתר מסחר אלקטרוני לאופנת יוקרה לילדים חושף לקוחות ברחבי העולם

מבוא

אל האני בטיחות זיהויים צוות האבטחה גילה פרצת מידע שהשפיעה על אתר המסחר האלקטרוני של אופנת ילדים צרפתי melijoe.com.

Melijoe היא קמעונאית יוקרתית של אופנת ילדים שבסיסה בצרפת. דלי אמזון S3 בבעלות החברה נותר נגיש ללא בקרות אימות במקום, וחשף נתונים רגישים ואישיים עבור מאות אלפי לקוחות פוטנציאליים.

ל-Melijoe יש טווח גלובלי, וכתוצאה מכך, אירוע זה משפיע על לקוחות הממוקמים ברחבי העולם.

מה זה מליג'ו?

melijoe.com, שנוסדה בשנת 2007, היא קמעונאית אופנה למסחר אלקטרוני המתמחה בבגדי יוקרה לילדים. החברה מציעה ביגוד לילדות, בנים ותינוקות. Melijoe.com כולל גם מותגים מובילים, כגון ראלף לורן, ורסאצ'ה, טומי הילפיגר ופול סמית' ג'וניור.

"Melijoe" מופעלת על ידי החברה הרשומה רשמית כ-BEBEO, שבסיסה בפריז, צרפת. לפי MELIJOE.COM, ל-BEBEO הון רשום של כ-950,000 אירו (~1.1 מיליון דולר ארה"ב). שירות Melijoe הפיק 12.5 מיליון אירו (~14 מיליון דולר ארה"ב) על פני 2 סבבי גיוס (לפי Crunchbase).

Melijoe התמזגה עם קונצרן אופנת הילדים השוודי הבולט, Babyshop Group (BSG) בסוף 2020 - חברה עם מחזור שנתי של מיליארד SEK (~1 מיליון דולר ארה"ב) במגוון חנויות רחוב ומסחר אלקטרוני.

מספר אינדיקטורים מאשרים שלMelijoe/BEBEO יש השפעה על דלי Amazon S3 הפתוח. בעוד שמותגים, תאריכי לידה ותכנים אחרים בדלי מרמזים שהבעלים הוא קמעונאי צרפתי של אופנת ילדים, יש גם התייחסויות ל"Bebeo" לאורך כל הדרך. והכי חשוב, הדלי מכיל מפות אתר עבור melijoe.com:

מה נחשף?

בסך הכל, דלי ה-Amazon S3 שגוי של melijoe.com חשף כמעט 2 מיליון קבצים, בהיקף כולל של כ-200 GB של נתונים.

כמה קבצים על הדלי חשפו מאות אלפי יומנים המכילים את נתונים רגישים ו מידע המאפשר זיהוי אישי (PII) of הלקוחות של מליג'ו.

קבצים אלה הכילו מערכי נתונים שונים: העדפות, רשימות משאלות, ו רכישות.

היו גם סוגי קבצים אחרים על הדלי, כולל תוויות משלוח וכמה נתונים הקשורים למלאי המוצרים של melijo.com.

העדפות

העדפות נתונים יוצאו מחשבונות לקוחות. הנתונים חשפו פרטים על טעמם, אהבותיהם ואי-אהבתם של הצרכנים בנוגע להחלטות הרכישה שלהם. היו עשרות אלפי בולי עץ נמצא בקובץ אחד.

העדפות צורות חשופות של PII של לקוחות ו נתוני לקוחות רגישים, לְרַבּוֹת:

• כתובות דוא"ל
• שמות של ילדים
• מגדרים
• תאריכי לידה
• העדפות של מותגים

ניתן לאסוף נתוני העדפות באמצעות נתוני רכישה ולחיצות באתר. העדפות משמשות לעתים קרובות כדי להתאים אישית את המלצות המוצר של כל לקוח.

אתה יכול לראות עדויות להעדפות לְהַלָן.

רשימת משאלות

רשימת משאלות נתונים חשפו פרטים סביב רשימות המשאלות של הלקוחות באתר - אוספים של מוצרים רצויים שנאספו על ידי כל לקוח. שוב, נראה היה שמידע זה נלקח מחשבונות לקוחות. היו מעל 750,000 יומנים על קובץ אחד עם נתונים השייכים ל-over 63,000 כתובות דוא"ל ייחודיות של משתמשים.

רשימת משאלות צורות חשופות של PII של לקוחות ו נתוני לקוחות רגישים:

• כתובות דוא"ל
• מוצרי תאריכים נוספו לרשימת המשאלות
• תאריך הסרת מוצרים מרשימת המשאלות (אם הוסרו)
• קודי פריט, משמש לזיהוי מוצרים פנימי

רשימת משאלות נוצרו על ידי הלקוחות עצמם ולא באמצעות מעקב אחר התנהגות באתר. רצועות המשאלות השתנו מאורך פריט אחד ועד לאלפי פריטים באורך. רשימות משאלות ארוכות יותר יכולות לאפשר לאדם לדעת יותר על הפריטים האהובים על הלקוחות.

צילומי המסך הבאים מציגים עדות לרשימות משאלות.

רכישות

רכישות הנתונים הופיעו 1.5 מיליון פריטים קנה פנימה מאות אלפי הזמנות. היו הזמנות מ מעל 150,000 כתובות דוא"ל ייחודיות על קובץ בודד.

רכישות חשוף PII של לקוחות ו נתוני לקוחות רגישים, ובכלל זה:

• כתובות דוא"ל
• קוד מק"ט של פריטים שהוזמנו
• זמן ביצוע ההזמנה
• פרטים פיננסיים של הזמנות, כולל מחירים ששולמו ומטבע
• שיטות תשלום, כלומר ויזה, PayPal וכו'
• מידע על המשלוח, Inc. כתובות משלוח ותאריכי משלוח
• כתובות לחיוב

רכישות הנתונים השפיעו לכאורה על המספר הגדול ביותר של משתמשים בהשוואה לשני מערכי הנתונים האחרים. יומנים אלה מפרטים בהרחבה את התנהגות הרכישה של לקוחות Melijoe. שוב, זה חושף מידע פרטי שיכול לשמש נגד צרכנים.

חלק מהלקוחות רכשו מספר רב של מוצרים, בעוד שלקוחות אחרים קנו פריט אחד או שניים בלבד. כמו ברשימות המשאלות, ללקוחות שהזמינו יותר פריטים נחשף מידע נוסף על המוצרים המועדפים עליהם.

צילומי המסך שלהלן מציגים עדויות ליומני רכישה.

תוויות משלוח

דלי AWS S3 של Melijoe הכיל תוויות משלוח. תוויות משלוח היו קשורות להזמנות של לקוחות Melijoe. היו יותר מ-300 מהקבצים האלה על הדלי.

תוויות משלוח חשף מספר דוגמאות של PII של לקוחות:

• שמות מלאים
• מספרי טלפון
• כתובות למשלוח
• ברקודי מוצר

תוכל לראות תווית משלוח עבור הזמנה של לקוח אחד למטה.

 

בנוסף לנתונים שהוזכרו לעיל, הדלי של Melijoe הכיל גם מידע על Melijoe's קטלוג מוצרים ו רמות המלאי.

יכולנו לנתח רק דגימה של תכולת הדלי מסיבות אתיות. בהתחשב במספר הגדול של קבצים המאוחסנים בדלי, עלולות להיות כמה צורות אחרות של נתונים רגישים שנחשפו.

דלי Amazon S3 של Melijoe היה פעיל ומתעדכן בזמן הגילוי.

חשוב לציין שאמזון לא מנהלת את הדלי של Melijoe ולכן, אינה אחראית לתצורה השגויה שלו.

Melijoe.com מוכרת מוצרים לבסיס לקוחות עולמי, וככאלה, לקוחות מכל העולם נחשפו בדלי הלא מאובטח. בעיקר, לקוחות מצרפת, רוסיה, גרמניה, בריטניה וארצות הברית מושפעים.

אנו מעריכים שעד 200,000 אנשים חשפו את המידע שלהם על דלי Amazon S3 הלא מאובטח של Melijoe. נתון זה מבוסס על מספר כתובות האימייל הייחודיות שראינו על הדלי.

אתה יכול לראות פירוט מלא של חשיפת הנתונים של Melijoe בטבלה למטה.

מספר הקבצים שנחשפו	כמעט 2 מיליון קבצים
מספר המשתמשים המושפעים	עד 200,000
כמות הנתונים שנחשפו	בסביבות 200 GB
מיקום החברה	צרפת

הדלי הכיל קבצים שהועלו בין אוקטובר 2016 לתאריך בו גילינו אותו - 8 בנובמבר 2021.

על פי הממצאים שלנו, הנתונים על הקבצים קשורים לרכישות ורשימות משאלות שבוצעו במשך מספר שנים. רכישות המפורטות על הדלי של Melijoe בוצעו בין מאי 2013 לאוקטובר 2017, בעוד שרשימות משאלות נוצרו בין אוקטובר 2012 לאוקטובר 2017.

ב-12 בנובמבר 2021, שלחנו הודעה ל-Melijoe לגבי הדלי הפתוח שלה וב-22 בנובמבר 2021, שלחנו הודעת המשך לכמה אנשי קשר ישנים וחדשים של Melijoe. ב-25 בנובמבר 2021, פנינו לצוות תגובת חירום מחשבים הצרפתי (CERT) ו-AWS, ושלחנו הודעות המשך לשני הארגונים ב-15 בדצמבר 2021. ה-CERT הצרפתי השיב וחשפנו באחריות את ההפרה. ה-CERT הצרפתי אמר שהם ייצרו קשר עם Melijoe אבל לא שמענו מהם שוב.

ב-5 בינואר 2022, יצרנו קשר עם CNIL ועקבנו ב-10 בינואר 2022. CNIL השיבה יום לאחר מכן, והודיעה לנו כי "התיק מטופל על ידי השירותים שלנו". פנינו גם ל-CERT הצרפתי ב-10 בינואר 2022, שאמר לנו "למרבה הצער, לאחר תזכורות רבות, הבעלים של הדלי לא הגיב להודעות שלנו."

הדלי אובטח ב-18 בפברואר 2022.

גם melijoe.com וגם הלקוחות שלה עלולים להתמודד עם השפעות מחשיפה זו לנתונים.

השפעה על הפרת נתונים

אנחנו לא יכולים ולא יודעים אם שחקנים זדוניים ניגשו לקבצים המאוחסנים בדלי הפתוח של אמזון S3 של Melijoe. עם זאת, ללא הגנת סיסמה במקום, הדלי של melijoe.com היה נגיש לכל מי שאולי מצא את כתובת האתר שלו.

זה אומר שהאקר או פושע יכול היה לקרוא או להוריד את הקבצים של הדלי. שחקנים רעים יכולים לכוון ללקוחות חשופים של Melijoe עם צורות של פשעי סייבר אם זה היה המקרה.

Melijoe עשוי להיבדק גם בשל הפרות של הגנת מידע.

השפעה על לקוחות

לקוחות melijoe.com חשופים נמצאים בסיכון לפשעי סייבר בגלל הפרת נתונים זו. ללקוחות יש דוגמאות נרחבות של נתונים אישיים ורגישים שנחשפו על הדלי.

כאמור, ללקוחות עם רשימות משאלות גדולות יותר או היסטוריית רכישה גדולה יותר נחשף מידע רב יותר על המוצרים המועדפים עליהם. אנשים אלה עלולים להתמודד עם התקפות מותאמות ומפורטות יותר, מכיוון שהאקרים יכולים ללמוד יותר על אהבותיהם ואי-אהבתם. ניתן גם למקד ללקוחות אלו על סמך ההנחה שהם עשירים ויכולים להרשות לעצמם לקנות הרבה מוצרים יוקרתיים.

פישינג ותוכנות זדוניות

האקרים יכולים לכוון ללקוחות חשופים של Melijoe התקפות דיוג ותוכנות זדוניות אם הם ניגשו לקבצים של הדלי.

דלי Amazon S3 של Melijoe הכיל כמעט 200,000 כתובות דוא"ל ייחודיות של לקוחות שיכולות לספק להאקרים רשימה ארוכה של יעדים פוטנציאליים.

האקרים יכלו ליצור קשר עם לקוחות אלו תוך שהם מתחזים לעובדים לגיטימיים של melijo.com. האקרים יכולים להפנות לכל אחד מכמה פרטים חשופים כדי לבנות נרטיב סביב המייל. לדוגמה, ההאקר יכול להתייחס להעדפות/רשימת המשאלות של אדם כדי לשכנע את הלקוח שמציעים לו עסקה.

ברגע שהקורבן סומך על ההאקר, השחקן הרע יכול להפעיל ניסיונות דיוג ותוכנות זדוניות.

בהתקפת פישינג, האקר ימנף את האמון כדי לכפות מידע רגיש ואישי יותר מהקורבן. ההאקר עשוי לשכנע את הקורבן לחשוף את כרטיס האשראי שלו, למשל, או ללחוץ על קישור זדוני. לאחר לחיצה, קישורים כאלה יכולים להוריד תוכנה זדונית למכשיר של הקורבן - תוכנה זדונית המאפשרת להאקרים לבצע צורות אחרות של איסוף נתונים ופשעי סייבר.

הונאה והונאות

האקרים יכולים גם לכוון ללקוחות חשופים עם הונאה והונאות אם הם ניגשו לקבצים של הדלי.

פושע רשת יכול למקד לקוחות חשופים באמצעות דואר אלקטרוני, תוך שימוש במידע מהדלי כדי להופיע כאדם אמין עם סיבה מוצדקת לפנות.

האקרים יכולים לנצל את האמון של מטרה כדי לבצע הונאה והונאות - תוכניות שנועדו להערים על הקורבן למסור כסף. לדוגמה, ההאקר יכול להשתמש בפרטי הזמנה ובמידע מסירה כדי לבצע תרמית מסירה. כאן, האקר יכול לבקש מהקורבנות לשלם דמי משלוח מזויפים כדי לקבל את הסחורה שלהם.

השפעה על melijoe.com

Melijoe עשויה לסבול מהשפעות משפטיות ופליליות כאחד כתוצאה מתקרית הנתונים שלה. דלי ה-Amazon S3 שהוגדר בצורה שגויה של החברה עלול היה להפר את חוקי הגנת המידע, בעוד שעסקים אחרים עשויים לגשת לתוכן הדלי על חשבון melijoe.com.

הפרות הגנת מידע

ייתכן שמליג'ו הפר את תקנת הגנת המידע הכללית של האיחוד האירופי (GDPR) מכיוון שהדלי של החברה הוגדר בצורה שגויה, וחשף את הנתונים של לקוחותיה.

ה-GDPR מגן על הנתונים הרגישים והאישיים של אזרחי האיחוד האירופי. ה-GDPR מסדיר חברות לגבי איסוף, אחסון ושימוש בנתוני לקוחות, וכל טיפול לא תקין בנתונים הוא ענישה על פי הרגולציה.

Commission nationale de l'informatique et des libertés (CNIL) היא הרשות להגנה על מידע בצרפת ואחראית לאכיפת ה-GDPR. Melijoe יכול להיות תחת ביקורתו של ה-CNIL. ה-CNIL יכול להוציא קנס מרבי של 20 מיליון אירו (~23 מיליון דולר ארה"ב) או 4% מהמחזור השנתי של החברה (הגדול מביניהם) בגין הפרת GDPR.

דלי Amazon S3 הפתוח של Melijoe לא רק חשף את הנתונים של אזרחי האיחוד האירופי אלא של לקוחות ממדינות ברחבי העולם. לכן, melijoe.com עשוי להיות נתון לעונשים ממספר תחומי שיפוט אחרים בנוסף ל-CNIL. לדוגמה, ועדת הסחר הפדרלית (FTC) של ארצות הברית עשויה לבחור לחקור את melijoe.com על הפרה אפשרית של חוק ה-FTC, ומשרד נציב המידע של בריטניה (ICO) עשוי לחקור את melijoe.com על הפרה אפשרית של חוק הגנת מידע 2018.

עם לקוחות חשופים ממגוון יבשות אחרות על הדלי של Melijoe, רשויות הגנת מידע רבות יכלו לבחור לחקור את melijoe.com.

ריגול בתחרות

מידע חשוף עלול להיאסף על ידי האקרים ולמכור אותו לצדדים שלישיים שיש להם עניין בנתונים. זה עשוי לכלול עסקים המתחרים של melijoe.com, כגון קמעונאי בגדים אחרים. סוכנויות שיווק עשויות גם לראות ערך בנתוני הדלי.

עסקים יריבים יכולים להשתמש בנתונים כדי לבצע ריגול בתחרות. במיוחד, מתחרים יכלו לגשת לרשימת הלקוחות של melijoe.com כדי למצוא לקוחות פוטנציאליים לעסק שלהם. עסקים יריבים יכולים ליצור קשר עם לקוחות חשופים עם הצעות בניסיון לגנוב עסקים ממליג'ו ולחזק את בסיס הלקוחות שלהם.

מניעת חשיפה לנתונים

מה אנחנו יכולים לעשות כדי לשמור על אבטחת הנתונים שלנו ולהפחית את סכנת החשיפה?

להלן מספר טיפים למניעת חשיפת נתונים:

• ספק את המידע האישי שלך רק לאנשים, ארגונים וגופים שאתה סומך עליהם לחלוטין.
• בקר רק באתרים עם דומיין מאובטח (כלומר אתרים שיש להם "https" ו/או סמל מנעול סגור בתחילת שם הדומיין שלהם).
• היזהר במיוחד כשאתה מספק את צורות הנתונים הרגישות ביותר שלך, כגון מספר תעודת זהות שלך.
• צור סיסמאות בלתי שבירות המשתמשות בשילוב של אותיות, מספרים וסמלים. עדכן את הסיסמאות הקיימות שלך באופן קבוע.
• אל תלחץ על קישור באימייל, בהודעה או בכל מקום אחר באינטרנט אלא אם אתה בטוח שהמקור לגיטימי.
• ערוך את הגדרות הפרטיות שלך באתרי מדיה חברתית כך שרק חברים ומשתמשים מהימנים יוכלו לראות את התוכן שלך.
• הימנע מהצגה או הקלדה של צורות חשובות של נתונים (כגון מספרי כרטיסי אשראי או סיסמאות) כאשר אתה מחובר לרשת WiFi לא מאובטחת.
• למד את עצמך על פשעי סייבר, הגנת נתונים והשיטות שמקטינות את הסיכוי שלך ליפול קורבן להתקפות דיוג ותוכנות זדוניות.

אודות

SafetyDetectives.com הוא אתר ביקורת האנטי-וירוס הגדול בעולם.

מעבדת המחקר SafetyDetectives היא שירות פרו בונו שמטרתו לעזור לקהילה המקוונת להתגונן מפני איומי סייבר תוך חינוך ארגונים כיצד להגן על נתוני המשתמשים שלהם. מטרת העל של פרויקט מיפוי האינטרנט שלנו היא לעזור להפוך את האינטרנט למקום בטוח יותר עבור כל המשתמשים.

הדיווחים הקודמים שלנו העלו נקודות תורפה ודליפות נתונים מרובות, כולל 2.6 מיליון משתמשים שנחשפו על ידי פלטפורמת ניתוח חברתית אמריקאית IGBlade, וכן הפרה ב- a פלטפורמת האינטגרטור של השוק הברזילאי Hariexpress.com.br שהדליפו יותר מ- 610 GB של נתונים.

לבדיקה מלאה של דיווח אבטחת הסייבר של SafetyDetectives בשלוש השנים האחרונות, עקוב אחר כך  צוות סייבר אבטחה של SafetyDetectives.

• Coinsmart. בורסת הביטקוין והקריפטו הטובה באירופה.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה חופשית.
• CryptoHawk. רדאר אלטקוין. ניסיון חינם.
• מקור: https://www.safetydetectives.com/news/melijoe-leak-report/