Lüks Çocuk Modası E-ticaret Sitesi Dünya Çapında Müşterilerini Tanıtıyor

Intro

The GüvenlikDedektifler güvenlik ekibi, Fransız çocuk moda e-ticaret sitesi melijoe.com'u etkileyen bir veri ihlali keşfetti.

Melijoe, Fransa merkezli üst düzey bir çocuk moda perakendecisidir. Şirkete ait bir Amazon S3 kovası, kimlik doğrulama kontrolleri olmadan erişilebilir hale getirildi ve potansiyel olarak yüz binlerce müşteri için hassas ve kişisel veriler açığa çıktı.

Melijoe küresel bir erişime sahiptir ve sonuç olarak bu olay dünyanın her yerindeki müşterileri etkiler.

Melijoe nedir?

2007 yılında kurulan melijoe.com, lüks çocuk giyiminde uzmanlaşmış bir e-ticaret moda perakendecisidir. Şirket kız, erkek ve bebekler için giyim sunmaktadır. Melijoe.com ayrıca Ralph Lauren, Versace, Tommy Hilfiger ve Paul Smith Junior gibi en iyi markalara da sahiptir.

“Melijoe”, merkezi Paris, Fransa'da bulunan ve resmi olarak BEBEO olarak kayıtlı şirket tarafından işletilmektedir. MELIJOE.COM'a göre, BEBEO'nun kayıtlı sermayesi yaklaşık 950,000 Euro (~1.1 milyon ABD Doları) civarındadır. Melijoe hizmeti, 12.5 tur finansmanla (Crunchbase'e göre) 14 milyon Euro (~2 milyon ABD Doları) elde etti.

Melijoe, 2020'nin sonlarında önde gelen İsveçli çocuk moda holdingi Babyshop Group (BSG) ile birleşti - çeşitli cadde ve e-ticaret mağazalarında yıllık cirosu 1 milyar SEK (~ 113 milyon ABD Doları) olan bir şirket.

Çeşitli göstergeler, Melijoe/BEBEO'nun açık Amazon S3 kovası üzerinde bir etkisi olduğunu doğrulamaktadır. Kovadaki markalar, doğum tarihleri ​​ve diğer içerikler, sahibinin bir Fransız çocuk moda perakendecisi olduğunu düşündürse de, baştan sona “Bebeo”ya da göndermeler var. En önemlisi, pakette melijoe.com için site haritaları bulunur:

Neler Ortaya Çıktı?

Toplamda, melijoe.com'un yanlış yapılandırılmış Amazon S3 kovası, toplamda yaklaşık 2 GB veri olan yaklaşık 200 milyon dosyayı açığa çıkardı.

Kovadaki birkaç dosya, aşağıdakileri içeren yüz binlerce günlüğü açığa çıkardı: hassas verileri ve kişisel olarak tanımlanabilir bilgiler (PII) of Melijoe'nin müşterileri.

Bu dosyalar farklı veri kümeleri içeriyordu: Tercihler, istek listeleri, ve alımları.

Kovada başka dosya türleri de vardı. nakliye etiketleri ve melijoe.com'un ürün envanteriyle ilgili bazı veriler.

Tercihler

Tercihler veriler müşteri hesaplarından dışa aktarıldı. Veriler, tüketicilerin satın alma kararlarıyla ilgili beğenileri, beğenileri ve hoşlanmadıklarıyla ilgili ayrıntıları ortaya çıkardı. Vardı on binlerce günlük bir dosyada bulundu.

Tercihler maruz kalan formları müşteri kimlik bilgisi ve hassas müşteri verileri, dahil olmak üzere:

• E-mail adresleri
• çocukların isimleri
• Cinsiyetler
• Doğum tarihleri
• markaların tercihleri

Tercih verileri, satın alma verileri ve yerinde tıklamalar yoluyla toplanabilir. Tercihler genellikle her müşterinin ürün tavsiyelerini kişiselleştirmek için kullanılır.

Tercihlerin kanıtlarını görebilirsiniz altında.

İstek listesi

İstek listesi veriler, müşterilerin yerinde istek listeleri - her bir müşteri tarafından seçilen istenen ürünlerin koleksiyonları - etrafındaki ayrıntıları ortaya çıkardı. Yine bu bilgilerin müşteri hesaplarından alındığı ortaya çıktı. Vardı 750,000'den fazla günlük fazlasına ait verilerle bir dosyada 63,000 benzersiz kullanıcının e-posta adresi.

İstek listesi maruz kalan formları müşteri kimlik bilgisi ve hassas müşteri verileri:

• E-mail adresleri
• Ürünlerin istek listelerine eklendiği tarih
• Ürünlerin istek listelerinden kaldırıldığı tarih (kaldırıldıysa)
• Ürün kodları, ürünleri dahili olarak tanımlamak için kullanılır

İstek listeleri, yerinde davranışları izleyerek değil, müşterilerin kendileri tarafından oluşturuldu. İstek listeleri, bir öğe uzunluğundan binlerce öğe uzunluğunda değişiyordu. Daha uzun istek listeleri, müşterilerin favori öğeleri hakkında daha fazla bilgi sahibi olmasını sağlayabilir.

Aşağıdaki ekran görüntüleri, istek listelerinin kanıtlarını göstermektedir.

Alınan Tedaviler

Alınan Tedaviler veriler bitti 1.5 milyon ürün satın alındı yüzbinlerce sipariş. gelen siparişler vardı 150,000'den fazla benzersiz e-posta adresi tek bir dosyada.

Alınan Tedaviler maruz müşteri kimlik bilgisi ve hassas müşteri verileriDahil olmak üzere:

• E-mail adresleri
• Sipariş edilen ürünlerin SKU kodu
• Verilen siparişin zamanı
• Siparişlerin finansal detayları, dahil ödenen fiyatlar ve para birimi
• Ödeme metodları, yani Visa, PayPal, vb
• Teslimat Bilgisi, inc. teslimat adresleri ve teslimat tarihleri
• Fatura adresleri

Alınan Tedaviler veriler görünüşte diğer iki veri kümesine kıyasla en fazla sayıda kullanıcıyı etkiledi. Bu günlükler, Melijoe müşterilerinin satın alma davranışlarını kapsamlı bir şekilde detaylandırır. Yine bu, tüketicilere karşı kullanılabilecek özel bilgileri ortaya çıkarır.

Bazı müşteriler çok sayıda ürün satın alırken, diğer müşteriler sadece bir veya iki ürün satın aldı. İstek listelerinde olduğu gibi, daha fazla ürün sipariş eden müşteriler, tercih ettikleri ürünler hakkında daha fazla bilgiye sahip oldular.

Aşağıdaki ekran görüntüleri satın alma günlüklerinin kanıtlarını göstermektedir.

Nakliye Etiketleri

Melijoe'nin AWS S3 Kovası içeriyor nakliye etiketleri. Sevkiyat etiketleri, Melijoe müşterilerinin siparişleriyle ilişkilendirildi. Kovada bu dosyalardan 300'den fazla vardı.

Nakliye etiketleri birkaç örneğini ortaya çıkardı müşteri kimlik bilgileri:

• Tam isimler
• Telefon numaraları
• Teslimat adresleri
• Ürün barkodları

Aşağıda bir müşterinin siparişi için bir kargo etiketi görebilirsiniz.

 

Yukarıda belirtilen verilere ek olarak, Melijoe'nin kovası, Melijoe'nin kepçesi hakkında da bilgi içeriyordu. ürün kataloğu ve Stok seviyeleri.

Etik nedenlerle kovanın içeriğinin yalnızca bir örneğini analiz edebildik. Kovada depolanan çok sayıda dosya göz önüne alındığında, açığa çıkan başka birkaç hassas veri biçimi olabilir.

Melijoe'nin Amazon S3 kovası canlıydı ve keşif sırasında güncelleniyordu.

Amazon'un Melijoe'nun kovasını yönetmediğini ve bu nedenle yanlış yapılandırmasından sorumlu olmadığını belirtmek önemlidir.

Melijoe.com, ürünlerini küresel bir müşteri tabanına satmaktadır ve bu nedenle, dünyanın dört bir yanından müşteriler, güvencesiz kovaya maruz kalmaktadır. Öncelikle, Fransa, Rusya, Almanya, Birleşik Krallık ve Amerika Birleşik Devletleri'ndeki müşteriler etkilenir.

200,000'e kadar kişinin bilgilerinin Melijoe'nun güvenli olmayan Amazon S3 paketine maruz kaldığını tahmin ediyoruz. Bu rakam, pakette gördüğümüz benzersiz e-posta adreslerinin sayısına dayanmaktadır.

Aşağıdaki tabloda Melijoe'nin veri maruziyetinin tam bir dökümünü görebilirsiniz.

Açığa çıkan dosya sayısı	Yaklaşık 2 milyon dosya
Etkilenen kullanıcı sayısı	200,000 kadar
Maruz kalan veri miktarı	Yaklaşık 200 GB
Şirketin Yeri	Fransa

Paket, Ekim 2016 ile onu keşfettiğimiz tarih olan 8 Kasım 2021 arasında yüklenen dosyaları içeriyordu.

Bulgularımıza göre, birkaç yıl boyunca yapılan satın almalar ve istek listeleriyle ilgili dosyalara ilişkin veriler. Melijoe'nun kepçesiyle ilgili ayrıntılı satın alma işlemleri Mayıs 2013 ile Ekim 2017 arasında yapılırken, istek listeleri Ekim 2012 ile Ekim 2017 arasında oluşturuldu.

12 Kasım 2021'de Melijoe'ye açık kovasıyla ilgili mesaj gönderdik ve 22 Kasım 2021'de bazı eski ve yeni Melijoe bağlantılarına bir takip mesajı gönderdik. 25 Kasım 2021'de Fransız Bilgisayar Acil Müdahale Ekibine (CERT) ve AWS'ye ulaştık ve 15 Aralık 2021'de her iki kuruluşa takip mesajları gönderdik. Fransız CERT yanıtladı ve ihlali sorumlu bir şekilde açıkladık. Fransız CERT, Melijoe ile iletişime geçeceklerini söyledi ancak onlardan bir daha hiç haber alamadık.

5 Ocak 2022'de CNIL ile iletişime geçtik ve 10 Ocak 2022'de konuyu takip ettik. CNIL bir gün sonra yanıt vererek "davanın hizmetlerimiz tarafından ele alındığını" bildirdi. Ayrıca 10 Ocak 2022'de Fransız CERT ile temasa geçtik ve bize “Ne yazık ki, birçok hatırlatmadan sonra kovanın sahibi mesajlarımıza cevap vermedi” dedi.

Kova 18 Şubat 2022'de emniyete alındı.

Hem melijoe.com hem de müşterileri bu verilere maruz kalmanın etkileriyle karşı karşıya kalabilir.

Veri İhlal Etkisi

Kötü niyetli kişilerin Melijoe'nun açık Amazon S3 kovasında depolanan dosyalara erişip erişmediğini bilemeyiz ve bilmiyoruz. Bununla birlikte, herhangi bir parola koruması bulunmadığından, melijoe.com'un paketi, URL'sini bulan herkes tarafından kolayca erişilebilirdi.

Bu, bir bilgisayar korsanı veya suçlunun kovanın dosyalarını okumuş veya indirmiş olabileceği anlamına gelir. Durum böyle olsaydı, kötü aktörler siber suç biçimleriyle açıkta kalan Melijoe müşterilerini hedef alabilirdi.

Melijoe, veri koruma ihlalleri nedeniyle de incelemeye alınabilir.

Müşteriler Üzerindeki Etki

Maruz kalan melijoe.com müşterileri, bu veri ihlali nedeniyle siber suç riski altındadır. Müşteriler, kovada açığa çıkan kapsamlı kişisel ve hassas veri örneklerine sahiptir.

Belirtildiği gibi, daha büyük istek listeleri veya daha büyük satın alma geçmişleri olan müşteriler, tercih ettikleri ürünler hakkında daha fazla bilgiye sahip oldular. Bilgisayar korsanları hoşlandıkları ve hoşlanmadıkları şeyler hakkında daha fazla bilgi edinebildikleri için bu kişiler daha özel ve ayrıntılı saldırılarla karşı karşıya kalabilir. Bu müşteriler, varlıklı oldukları ve çok sayıda üst düzey ürün satın alabilecekleri varsayımına dayalı olarak da hedeflenebilir.

Kimlik Avı ve Kötü Amaçlı Yazılım

Bilgisayar korsanları, maruz kalan Melijoe müşterilerini kimlik avı saldırıları ve kötü amaçlı yazılım paketin dosyalarına eriştilerse.

Melijoe'nun Amazon S3 klasörü, bilgisayar korsanlarına uzun bir potansiyel hedef listesi sağlayabilecek yaklaşık 200,000 benzersiz müşterinin e-posta adresini içeriyordu.

Bilgisayar korsanları, melijoe.com'un meşru bir çalışanı gibi davranarak bu müşterilerle iletişim kurabilir. Bilgisayar korsanları, e-posta etrafında bir anlatı oluşturmak için açıkta kalan birkaç ayrıntıdan herhangi birine başvurabilir. Örneğin, bilgisayar korsanı, müşteriyi kendisine bir anlaşma teklif edildiğine ikna etmek için bir kişinin tercihlerine/istek listesine başvurabilir.

Kurban, bilgisayar korsanına güvendiğinde, kötü oyuncu kimlik avı girişimleri ve kötü amaçlı yazılımlar başlatabilir.

Bir kimlik avı saldırısında, bir bilgisayar korsanı, kurbandan daha hassas ve kişisel bilgileri almaya zorlamak için güvenden yararlanır. Bilgisayar korsanı, örneğin, kurbanı kredi kartı bilgilerini ifşa etmeye ikna edebilir veya kötü amaçlı bir bağlantıya tıklayabilir. Bir kez tıklandığında, bu tür bağlantılar kötü amaçlı yazılımları kurbanın cihazına indirebilir; bilgisayar korsanlarının diğer veri toplama ve siber suç biçimlerini yürütmesine olanak tanıyan kötü amaçlı yazılım.

Dolandırıcılık ve Dolandırıcılık

Bilgisayar korsanları ayrıca maruz kalan müşterileri şu şekilde hedefleyebilir: dolandırıcılık ve dolandırıcılık paketin dosyalarına eriştilerse.

Bir siber suçlu, ulaşmak için geçerli bir nedeni olan güvenilir bir kişi olarak görünmek için paketteki bilgileri kullanarak e-posta yoluyla açıkta kalan müşterileri hedefleyebilir.

Bilgisayar korsanları, kurbanı kandırarak parayı teslim etmesi için tasarlanmış sahtekarlık ve dolandırıcılık düzenleri yapmak için bir hedefin güvenini kullanabilir. Örneğin, bilgisayar korsanı bir teslimat dolandırıcılığı yapmak için sipariş ayrıntılarını ve teslimat bilgilerini kullanabilir. Burada bir bilgisayar korsanı, kurbanlarından mallarını almak için sahte bir teslimat ücreti ödemelerini isteyebilir.

melijoe.com üzerindeki etkisi

Melijoe, veri olayının bir sonucu olarak hem yasal hem de cezai etkilere maruz kalabilir. Şirketin yanlış yapılandırılmış Amazon S3 kovası, veri koruma yasalarını ihlal edebilirken, diğer işletmeler paketin içeriğine melijoe.com pahasına erişebilir.

Veri Koruma İhlalleri

Melijoe, şirketin paketi yanlış yapılandırıldığı ve müşterilerinin verilerini açığa çıkardığı için AB'nin Genel Veri Koruma Yönetmeliğini (GDPR) ihlal etmiş olabilir.

GDPR, AB vatandaşlarının hassas ve kişisel verilerini korur. GDPR, şirketleri müşteri verilerinin toplanması, saklanması ve kullanımı konusunda yönetir ve verilerin herhangi bir şekilde uygun olmayan şekilde işlenmesi yönetmelik kapsamında cezalandırılabilir.

Commission Nationale de l'informatique et des libertés (CNIL) Fransa'nın veri koruma yetkilisidir ve GDPR'nin uygulanmasından sorumludur. Melijoe, CNIL'in denetimine girebilir. CNIL, GDPR'nin ihlali için maksimum 20 milyon Euro (~23 milyon ABD Doları) veya şirketin yıllık cirosunun (hangisi daha büyükse) %4'ü kadar para cezası verebilir.

Melijoe'nin açık Amazon S3 kovası, yalnızca AB vatandaşlarının verilerini değil, aynı zamanda dünyanın dört bir yanındaki ülkelerden gelen müşterilerin verilerini de ifşa etti. Bu nedenle, melijoe.com, CNIL'e ek olarak diğer birçok yargı alanından cezalara tabi olabilir. Örneğin, Amerika Birleşik Devletleri Federal Ticaret Komisyonu (FTC), melijoe.com'u FTC Yasası'nın olası bir ihlali nedeniyle soruşturmayı seçebilir ve Birleşik Krallık'ın Bilgi Komisyonu Ofisi (ICO), melijoe.com'u olası bir ihlal için araştırabilir. Veri Koruma Yasası 2018.

Melijoe'nin kovasındaki diğer çeşitli kıtalardan açıkta kalan müşterilerle, çok sayıda veri koruma yetkilisi melijoe.com'u araştırmayı seçebilir.

rekabet casusluğu

Açıkta kalan bilgiler bilgisayar korsanları tarafından toplanabilir ve verilerle ilgilenen üçüncü taraflara satılabilir. Bu, diğer giyim perakendecileri gibi melijoe.com'un rakibi olan işletmeleri içerebilir. Pazarlama ajansları, kovanın verilerinde de değer görebilir.

Rakip işletmeler verileri yürütmek için kullanabilir rekabet casusluğu Özellikle rakipler, kendi işletmeleri için potansiyel müşteriler bulmak için melijoe.com'un müşteri listesine erişebilirler. Rakip işletmeler, işleri Melijoe'dan çalmak ve kendi müşteri tabanlarını güçlendirmek için maruz kalan müşterilerle tekliflerle iletişime geçebilir.

Verilere Maruz Kalmayı Önleme

Verilerimizi güvende tutmak ve açığa çıkma riskini azaltmak için ne yapabiliriz?

Verilerin açığa çıkmasını önlemek için birkaç ipucu:

• Kişisel bilgilerinizi yalnızca tamamen güvendiğiniz kişilere, kuruluşlara ve kuruluşlara verin.
• Yalnızca güvenli etki alanına sahip web sitelerini ziyaret edin (yani, alan adlarının başında “https” ve/veya kapalı kilit sembolü olan web siteleri).
• Sosyal güvenlik numaranız gibi en hassas veri formlarınızı sağlarken özellikle dikkatli olun.
• Harfler, sayılar ve sembollerin bir karışımını kullanan kırılmaz parolalar oluşturun. Mevcut şifrelerinizi düzenli olarak güncelleyin.
• Kaynağın yasal olduğundan emin olmadığınız sürece, bir e-postadaki, mesajdaki veya internette başka herhangi bir yerde bulunan bir bağlantıya tıklamayın.
• Sosyal medya sitelerinde gizlilik ayarlarınızı düzenleyin, böylece yalnızca arkadaşlarınız ve güvendiğiniz kullanıcılar içeriğinizi görebilir.
• Güvenli olmayan bir WiFi ağına bağlanıldığında önemli veri biçimlerini (kredi kartı numaraları veya parolalar gibi) görüntülemekten veya yazmaktan kaçının.
• Siber suçlar, veri koruma ve kimlik avı saldırılarına ve kötü amaçlı yazılımlara kurban gitme şansınızı azaltan yöntemler hakkında kendinizi eğitin.

Hakkımızda

SafetyDetectives.com dünyanın en büyük antivirüs inceleme web sitesidir.

SafetyDetectives araştırma laboratuvarı, kurumları kullanıcılarının verilerini nasıl koruyacakları konusunda eğitirken, çevrimiçi topluluğun kendisini siber tehditlere karşı savunmasına yardımcı olmayı amaçlayan ücretsiz bir hizmettir. Web haritalama projemizin genel amacı, interneti tüm kullanıcılar için daha güvenli bir yer haline getirmeye yardımcı olmaktır.

Önceki raporlarımız, çok sayıda yüksek profilli güvenlik açığını ve veri sızıntısını gün ışığına çıkarmıştı. Amerikan sosyal analiz platformu IGBlade, aynı zamanda bir ihlal Brezilya Pazar Yeri Entegratör platformu Hariexpress.com.br 610 GB'tan fazla veri sızdırdı.

Son 3 yıldaki SafetyDetectives siber güvenlik raporlarının tam bir incelemesi için aşağıdaki adresi izleyin:  SafetyDetectives Siber Güvenlik Ekibi.

• Akıllı para. Avrupa'nın En İyi Bitcoin ve Kripto Borsası.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. SERBEST ERİŞİM.
• KriptoHawk. Altcoin Radarı. Ücretsiz deneme.
• Kaynak: https://www.safetydetectives.com/news/melijoe-leak-report/