Сайт электронной коммерции роскошной детской моды открывает клиентов по всему миру

Главная

Ассоциация Безопасность Служба безопасности обнаружила утечку данных на французском веб-сайте электронной коммерции детской моды melijoe.com.

Melijoe — французский ритейлер элитной детской одежды. Корзина Amazon S3, принадлежащая компании, оставалась доступной без средств проверки подлинности, что раскрывало конфиденциальные и личные данные потенциально сотен тысяч клиентов.

Melijoe имеет глобальный охват, и, следовательно, этот инцидент затрагивает клиентов, расположенных по всему миру.

Что такое Мелийо?

Компания melijoe.com, основанная в 2007 году, является розничным интернет-магазином модной одежды, специализирующимся на роскошной детской одежде. Компания предлагает одежду для девочек, мальчиков и младенцев. На Melijoe.com также представлены ведущие бренды, такие как Ralph Lauren, Versace, Tommy Hilfiger и Paul Smith Junior.

«Melijoe» управляется компанией, официально зарегистрированной как BEBEO, со штаб-квартирой в Париже, Франция. По данным MELIJOE.COM, уставный капитал BEBEO составляет около 950,000 1.1 евро (~ 12.5 млн долларов США). Сервис Melijoe привлек 14 млн евро (~ 2 млн долларов США) за XNUMX раунда финансирования (по данным Crunchbase).

В конце 2020 года Melijoe объединилась с известным шведским конгломератом детской моды Babyshop Group (BSG) — компанией с годовым оборотом в 1 миллиард шведских крон (~ 113 миллионов долларов США) в ряде крупных магазинов и магазинов электронной коммерции.

Несколько индикаторов подтверждают, что Melijoe/BEBEO имеет отношение к открытой корзине Amazon S3. В то время как бренды, даты рождения и другое содержимое ведра предполагают, что владельцем является французский продавец детской одежды, повсюду также есть ссылки на «Bebeo». Самое главное, что в корзине есть карты сайта для melijoe.com:

Что было раскрыто?

В общей сложности неправильно сконфигурированная корзина Amazon S3 компании melijoe.com обнаружила почти 2 миллиона файлов общим объемом около 200 ГБ данных.

Несколько файлов в корзине содержали сотни тысяч журналов, содержащих конфиденциальных данных и личная информация (PII) of Клиенты Melijoe.

Эти файлы содержали разные наборы данных: предпочтения, списки желаний, и покупках.

В корзине были и другие типы файлов, в том числе транспортные этикетки и некоторые данные, относящиеся к ассортименту продукции melijoe.com.

Настройки

Настройки данные были экспортированы из учетных записей клиентов. Данные выявили детали вкусов, симпатий и антипатий потребителей в отношении их решений о покупке. Было десятки тысяч журналов нашел в одном файле.

Настройки открытые формы персональные данные клиента и конфиденциальные данные клиентов, включая:

• Адреса электронной почты
• Имена детей
• Пол
• Даты рождения
• Предпочтения брендов

Данные о предпочтениях можно собирать с помощью данных о покупках и кликов на сайте. Предпочтения часто используются для персонализации рекомендаций продукта для каждого клиента.

Вы можете увидеть доказательства предпочтений внизу.

Списки желаний

Списки желаний данные выявили детали списков желаний клиентов на сайте — коллекций желаемых продуктов, отобранных каждым клиентом. Опять же, эта информация, похоже, была взята из учетных записей клиентов. Было более 750,000 XNUMX логов на один файл с данными, принадлежащими более чем 63,000 XNUMX уникальных адресов электронной почты пользователей.

Списки желаний открытые формы персональные данные клиента и конфиденциальные данные клиента:

• Адреса электронной почты
• Дата добавления товаров в списки желаний
• Дата удаления товаров из списков желаний (если они были удалены)
• Коды предметов, используется для внутренней идентификации продуктов

Списки желаний были созданы самими клиентами, а не путем отслеживания поведения на сайте. Списки желаний варьировались от одной позиции до тысяч позиций. Более длинные списки желаний могут позволить узнать больше о любимых товарах клиентов.

На следующих снимках экрана показаны списки пожеланий.

Покупки

Покупки данные показали более 1.5 миллиона предметов куплено в сотни тысяч заказов. Были заказы от более 150,000 XNUMX уникальных адресов электронной почты на одном файле.

Покупки подвергаться персональные данные клиента и конфиденциальные данные клиента, в том числе:

• Адреса электронной почты
• Артикул заказанного товара
• Время размещения заказа
• Финансовые детали заказов, вкл. уплаченные цены и валюта
• Способы оплаты, т.е. Visa, PayPal и т. д.
• Информация о доставке, вкл. адреса и сроки доставки
• Платежные адреса

Покупки данные, по-видимому, затронули наибольшее количество пользователей по сравнению с двумя другими наборами данных. Эти журналы подробно описывают покупательское поведение клиентов Melijoe. Опять же, это раскрывает личную информацию, которая может быть использована против потребителей.

Некоторые клиенты приобрели большое количество товаров, в то время как другие покупатели купили только один или два товара. Как и в случае со списками желаний, клиенты, которые заказывали больше товаров, получали больше информации о своих любимых продуктах.

На приведенных ниже снимках экрана показаны журналы покупок.

Маркировка грузов

Корзина Melijoe AWS S3 содержит транспортные этикетки. Этикетки для доставки были связаны с заказами клиентов Melijoe. В корзине было более 300 таких файлов.

Доставка этикетки представил несколько примеров персональные данные клиента:

• Полные имена
• Номера телефонов
• Адреса доставки
• Штрих-коды продуктов

Ниже вы можете увидеть транспортную этикетку для заказа одного клиента.

 

В дополнение к упомянутым выше данным, ведро Мелиоэ также содержало информацию о Каталог товаров и уровни запасов.

Мы смогли проанализировать только образец содержимого ведра по этическим соображениям. Учитывая большое количество файлов, хранящихся в корзине, может быть раскрыто несколько других форм конфиденциальных данных.

Корзина Amazon S3 от Melijoe работала и обновлялась на момент обнаружения.

Важно отметить, что Amazon не управляет корзиной Melijoe и, следовательно, не несет ответственности за ее неправильную конфигурацию.

Melijoe.com продает товары глобальной клиентской базе, поэтому клиенты со всего мира оказались в незащищенном сегменте. В первую очередь затронуты клиенты из Франции, России, Германии, Великобритании и США.

По нашим оценкам, около 200,000 3 человек получили доступ к своей информации в незащищенной корзине Amazon SXNUMX компании Melijoe. Эта цифра основана на количестве уникальных адресов электронной почты, которые мы видели в корзине.

Вы можете увидеть полную разбивку данных Melijoe в таблице ниже.

Количество открытых файлов	Почти 2 миллиона файлов
Количество затронутых пользователей	До 200,000
Объем раскрытых данных	Около 200 ГБ
Расположение компании	Франция

Корзина содержала файлы, которые были загружены в период с октября 2016 года до даты, когда мы ее обнаружили — 8 ноября 2021 года.

По нашим данным, данные о файлах относятся к покупкам и спискам желаний, которые были совершены за несколько лет. Покупки, указанные в корзине Melijoe, были совершены в период с мая 2013 г. по октябрь 2017 г., а списки пожеланий были созданы в период с октября 2012 г. по октябрь 2017 г.

12 ноября 2021 г. мы отправили Melijoe сообщение об открытом сегменте, а 22 ноября 2021 г. мы отправили дополнительное сообщение некоторым старым и новым контактам Melijoe. 25 ноября 2021 г. мы связались с французской группой реагирования на компьютерные чрезвычайные ситуации (CERT) и AWS и 15 декабря 2021 г. отправили обеим организациям дополнительные сообщения. Французский CERT сказал, что они свяжутся с Melijoe, но мы больше никогда не получали от них ответа.

5 января 2022 г. мы связались с CNIL, а затем 10 января 2022 г. CNIL ответила через день, сообщив нам, что «дело находится в ведении наших служб». Мы также связались с французским CERT 10 января 2022 года, который сообщил нам: «К сожалению, после многочисленных напоминаний владелец ведра не ответил на наши сообщения».

Ведро было закреплено 18 февраля 2022 года.

И melijoe.com, и ее клиенты могут столкнуться с последствиями раскрытия данных.

Воздействие утечки данных

Мы не можем и не знаем, получили ли злоумышленники доступ к файлам, хранящимся в открытой корзине Amazon S3 Melijoe. Однако без защиты паролем корзина melijoe.com была легкодоступна для всех, кто мог найти ее URL-адрес.

Это означает, что хакер или преступник мог прочитать или загрузить файлы корзины. Злоумышленники могли бы атаковать незащищенных клиентов Melijoe с помощью киберпреступлений, если бы это было так.

Melijoe также может подвергнуться тщательной проверке за нарушение защиты данных.

Влияние на клиентов

Незащищенные клиенты melijoe.com подвергаются риску киберпреступности из-за этой утечки данных. У клиентов есть множество примеров раскрытия личных и конфиденциальных данных в корзине.

Как уже упоминалось, клиенты с более крупными списками желаний или более обширной историей покупок получили больше информации о своих любимых продуктах. Эти люди могут столкнуться с более индивидуальными и подробными атаками, поскольку хакеры могут больше узнать об их симпатиях и антипатиях. Эти клиенты также могут быть выбраны на основе предположения, что они богаты и могут позволить себе покупать много высококачественных продуктов.

Фишинг и вредоносное ПО

Хакеры могут атаковать незащищенных клиентов Melijoe с помощью фишинговые атаки и вредоносное ПО если они получили доступ к файлам корзины.

Корзина Amazon S3 компании Melijoe содержала почти 200,000 XNUMX уникальных адресов электронной почты клиентов, что могло предоставить хакерам длинный список потенциальных целей.

Хакеры могли связаться с этими клиентами, выдавая себя за законных сотрудников melijoe.com. Хакеры могли сослаться на любую из нескольких раскрытых деталей, чтобы построить повествование по электронной почте. Например, хакер может сослаться на предпочтения/список желаний человека, чтобы убедить клиента, что ему предлагается сделка.

Как только жертва доверяет хакеру, злоумышленник может запускать попытки фишинга и вредоносное ПО.

При фишинговой атаке хакер использует доверие, чтобы получить от жертвы более конфиденциальную и личную информацию. Хакер может убедить жертву, например, раскрыть учетные данные своей кредитной карты или перейти по вредоносной ссылке. После перехода по таким ссылкам на устройство жертвы может быть загружено вредоносное ПО — вредоносное программное обеспечение, которое позволяет хакерам осуществлять другие формы сбора данных и киберпреступлений.

Мошенничество и мошенничество

Хакеры также могут атаковать незащищенных клиентов с помощью мошенничество и мошенничество если они получили доступ к файлам корзины.

Киберпреступник может атаковать незащищенных клиентов по электронной почте, используя информацию из корзины, чтобы выглядеть как заслуживающий доверия человек, у которого есть веская причина для связи.

Хакеры могут использовать доверие жертвы для мошенничества и мошенничества — схем, которые призваны обманом заставить жертву передать деньги. Например, хакер может использовать детали заказа и информацию о доставке для мошенничества с доставкой. Здесь хакер может попросить жертв заплатить фальшивую плату за доставку, чтобы получить свои товары.

Влияние на melijoe.com

В результате инцидента с данными компания Melijoe может пострадать как от юридических, так и от уголовных преступлений. Неправильно настроенная корзина Amazon S3 компании могла нарушать законы о защите данных, в то время как другие компании могли получить доступ к содержимому корзины за счет melijoe.com.

Нарушения защиты данных

Melijoe, возможно, нарушила Общий регламент ЕС по защите данных (GDPR), поскольку корзина компании была неправильно сконфигурирована, что привело к раскрытию данных ее клиентов.

GDPR защищает конфиденциальные и личные данные граждан ЕС. GDPR регулирует сбор, хранение и использование данных клиентов компаниями, и любое ненадлежащее обращение с данными наказывается в соответствии с законодательством.

Национальная комиссия по информатике и свободам (CNIL) является французским органом по защите данных и отвечает за соблюдение GDPR. Melijoe может оказаться под пристальным вниманием CNIL. CNIL может наложить максимальный штраф в размере 20 миллионов евро (~ 23 миллиона долларов США) или 4% от годового оборота компании (в зависимости от того, что больше) за нарушение GDPR.

Открытая корзина Amazon S3 компании Melijoe предоставила данные не только о гражданах ЕС, но и о клиентах из разных стран мира. Таким образом, melijoe.com может быть подвергнут наказанию со стороны нескольких других юрисдикций, помимо CNIL. Например, Федеральная торговая комиссия (FTC) США может провести расследование в отношении melijoe.com на предмет возможного нарушения Закона о Федеральной торговой комиссии, а Управление Комиссара по информации (ICO) Великобритании может провести расследование в отношении melijoe.com на предмет возможного нарушения Закона о Федеральной торговой комиссии. Закон о защите данных 2018 г.

Учитывая, что в корзине Melijoe есть клиенты с других континентов, многочисленные органы по защите данных могут принять решение о расследовании melijoe.com.

Конкурсный шпионаж

Раскрытая информация может быть собрана хакерами и продана третьим лицам, заинтересованным в данных. Сюда могут входить предприятия, являющиеся конкурентами melijoe.com, например, другие розничные продавцы одежды. Маркетинговые агентства также могут увидеть ценность данных корзины.

Конкурирующие компании могут использовать данные для выполнения Конкурсный шпионаж. В частности, конкуренты могли получить доступ к списку клиентов melijoe.com, чтобы найти потенциальных клиентов для своего бизнеса. Компании-конкуренты могут обращаться к незащищенным клиентам с предложениями, пытаясь украсть бизнес у Melijoe и укрепить свою клиентскую базу.

Предотвращение раскрытия данных

Что мы можем сделать, чтобы обеспечить безопасность наших данных и снизить риск их раскрытия?

Вот несколько советов по предотвращению раскрытия данных:

• Предоставляйте свою личную информацию только тем лицам, организациям и организациям, которым вы полностью доверяете.
• Посещайте только веб-сайты с безопасным доменом (т. е. веб-сайты, у которых есть «https» и/или символ закрытого замка в начале имени домена).
• Будьте особенно осторожны при предоставлении наиболее конфиденциальных данных, таких как номер социального страхования.
• Создавайте небьющиеся пароли, состоящие из букв, цифр и символов. Регулярно обновляйте существующие пароли.
• Не нажимайте ссылку в электронном письме, сообщении или где-либо еще в Интернете, если вы не уверены, что источник является законным.
• Измените настройки конфиденциальности на сайтах социальных сетей, чтобы ваш контент могли видеть только друзья и доверенные пользователи.
• Старайтесь не отображать и не вводить важные данные (например, номера кредитных карт или пароли) при подключении к незащищенной сети Wi-Fi.
• Узнайте о киберпреступности, защите данных и методах, которые уменьшают ваши шансы стать жертвой фишинговых атак и вредоносных программ.

О Нас

SafetyDetectives.com - крупнейший в мире сайт с обзорами антивирусов.

Исследовательская лаборатория SafetyDetectives - это бесплатная услуга, цель которой - помочь онлайн-сообществу защитить себя от киберугроз, одновременно обучая организации тому, как защитить данные своих пользователей. Основная цель нашего проекта веб-картографии - сделать Интернет более безопасным местом для всех пользователей.

Наши предыдущие отчеты выявили множество громких уязвимостей и утечек данных, в том числе 2.6 миллиона пользователей, подвергшихся Американская платформа социальной аналитики IGBlade, а также нарушение в Платформа интегратора бразильских торговых площадок Hariexpress.com.br что привело к утечке более 610 ГБ данных.

Полный обзор отчетов о кибербезопасности SafetyDetectives за последние 3 года см.  Команда по кибербезопасности SafetyDetectives.

• Коинсмарт. Лучшая в Европе биржа биткойнов и криптовалют.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. БЕСПЛАТНЫЙ ДОСТУП.
• КриптоХок. Альткоин Радар. Бесплатная пробная версия.
• Источник: https://www.safetydetectives.com/news/melijoe-leak-report/