Trang web thương mại điện tử thời trang trẻ em sang trọng tiếp xúc với khách hàng trên toàn thế giới

Giới thiệu

Sản phẩm An toàn đội bảo mật đã phát hiện một lỗ hổng dữ liệu ảnh hưởng đến trang web thương mại điện tử thời trang trẻ em melijoe.com của Pháp.

Melijoe là nhà bán lẻ thời trang trẻ em cao cấp có trụ sở tại Pháp. Một thùng Amazon S3 do công ty sở hữu có thể truy cập được mà không có các biện pháp kiểm soát xác thực, làm lộ dữ liệu cá nhân và nhạy cảm cho hàng trăm nghìn khách hàng tiềm năng.

Melijoe có phạm vi tiếp cận toàn cầu và do đó, sự cố này ảnh hưởng đến các khách hàng trên khắp thế giới.

Melijoe là gì?

Được thành lập vào năm 2007, melijoe.com là nhà bán lẻ thời trang thương mại điện tử chuyên về quần áo trẻ em sang trọng. Công ty cung cấp quần áo cho trẻ em gái, trẻ em trai và trẻ sơ sinh. Melijoe.com cũng có các thương hiệu hàng đầu, chẳng hạn như Ralph Lauren, Versace, Tommy Hilfiger và Paul Smith Junior.

“Melijoe” được điều hành bởi công ty được đăng ký chính thức là BEBEO, có trụ sở chính tại Paris, Pháp. Theo MELIJOE.COM, BEBEO có vốn đăng ký khoảng € 950,000 (~ US $ 1.1 triệu). Dịch vụ Melijoe đã tạo ra 12.5 triệu euro (~ 14 triệu đô la Mỹ) qua 2 vòng tài trợ (theo Crunchbase).

Melijoe đã hợp nhất với tập đoàn thời trang trẻ em nổi tiếng của Thụy Điển là Babyshop Group (BSG) vào cuối năm 2020 - một công ty có doanh thu hàng năm 1 tỷ SEK (~ 113 triệu USD) trên một loạt các cửa hàng thương mại điện tử và đường phố.

Một số chỉ số xác nhận rằng Melijoe / BEBEO có liên quan đến nhóm Amazon S3 đang mở. Mặc dù nhãn hiệu, ngày sinh và các nội dung khác trong nhóm gợi ý chủ sở hữu là một nhà bán lẻ thời trang trẻ em của Pháp, nhưng cũng có liên quan đến “Bebeo” xuyên suốt. Quan trọng nhất, nhóm chứa các sơ đồ trang web cho melijoe.com:

Những gì đã được phơi bày?

Nhìn chung, bộ chứa Amazon S3 bị định cấu hình sai của melijoe.com đã làm lộ gần 2 triệu tệp, tổng cộng khoảng 200 GB dữ liệu.

Một vài tệp trên thùng đã hiển thị hàng trăm nghìn nhật ký chứa dữ liệu nhạy cảm và thông tin nhận dạng cá nhân (PII) of Khách hàng của Melijoe.

Các tệp này chứa các tập dữ liệu khác nhau: Sở thích, danh sách mong muốn, và mua hàng.

Cũng có các loại tệp khác trên thùng, bao gồm Nhãn vận chuyển và một số dữ liệu liên quan đến kho sản phẩm của melijoe.com.

Sở thích (Preferences)

Sở thích (Preferences) dữ liệu đã được xuất từ ​​tài khoản khách hàng. Dữ liệu cho thấy chi tiết về thị hiếu, sở thích và không thích của người tiêu dùng liên quan đến quyết định mua hàng của họ. Đã có hàng chục nghìn bản ghi được tìm thấy trên một tệp.

Sở thích (Preferences) các hình thức tiếp xúc của PII của khách hàng và dữ liệu khách hàng nhạy cảm, kể cả:

• Địa chỉ email
• Tên của trẻ em
• Giới tính
• Ngày sinh
• Sở thích của nhãn hiệu

Dữ liệu sở thích có thể được thu thập thông qua dữ liệu mua hàng và nhấp chuột tại chỗ. Preferences thường được sử dụng để cá nhân hóa các đề xuất sản phẩm của mỗi khách hàng.

Bạn có thể thấy bằng chứng về sở thích phía dưới.

Yêu cầu

Yêu cầu dữ liệu tiết lộ chi tiết xung quanh danh sách mong muốn tại chỗ của khách hàng — bộ sưu tập các sản phẩm mong muốn do từng khách hàng sắp xếp. Một lần nữa, thông tin này dường như đã được lấy từ tài khoản của khách hàng. Đã có hơn 750,000 bản ghi trên một tệp có dữ liệu thuộc về 63,000 địa chỉ email của người dùng duy nhất.

Yêu cầu các hình thức tiếp xúc của PII của khách hàng và dữ liệu khách hàng nhạy cảm:

• Địa chỉ email
• Ngày sản phẩm được thêm vào danh sách yêu thích
• Ngày sản phẩm bị xóa khỏi danh sách yêu thích (nếu bị xóa)
• Mã hàng, được sử dụng để ID sản phẩm nội bộ

Danh sách mong muốn do khách hàng tự tạo chứ không phải theo dõi hành vi trên trang web. Danh sách yêu thích đa dạng từ một mục dài đến hàng nghìn mục. Danh sách mong muốn dài hơn có thể cho phép một người biết nhiều hơn về các mặt hàng yêu thích của khách hàng.

Các ảnh chụp màn hình sau đây cho thấy bằng chứng về danh sách mong muốn.

Mua

Mua dữ liệu được hiển thị hơn 1.5 triệu sản phẩm mua vào hàng trăm nghìn đơn đặt hàng. Đã có đơn đặt hàng từ hơn 150,000 địa chỉ email duy nhất trên một tệp duy nhất.

Mua tiếp xúc PII của khách hàng và dữ liệu khách hàng nhạy cảm, Bao gồm:

• Địa chỉ email
• Mã SKU của các mặt hàng đã đặt hàng
• Thời gian đặt hàng
• Chi tiết tài chính của đơn đặt hàng, bao gồm giá cả phải trả và tiền tệ
• Phương thức thanh toán, tức là Visa, PayPal, v.v.
• Thông tin giao hàng, bao gồm địa chỉ giao hàng và ngày giao hàng
• Địa chỉ thanh toán

Mua dữ liệu dường như ảnh hưởng đến số lượng người dùng lớn nhất so với hai tập dữ liệu còn lại. Những nhật ký này trình bày chi tiết rõ ràng về hành vi mua hàng của khách hàng Melijoe. Một lần nữa, điều này tiết lộ thông tin cá nhân có thể được sử dụng để chống lại người tiêu dùng.

Một số khách hàng đã mua một số lượng lớn sản phẩm, trong khi những khách hàng khác chỉ mua một hoặc hai mặt hàng. Cũng như danh sách mong muốn, những khách hàng đặt nhiều mặt hàng hơn sẽ có thêm thông tin về các sản phẩm ưa thích của họ.

Ảnh chụp màn hình bên dưới cho thấy bằng chứng về nhật ký mua hàng.

Nhãn vận chuyển

Thùng chứa AWS S3 của Melijoe Nhãn vận chuyển. Nhãn vận chuyển được liên kết với đơn đặt hàng của khách hàng Melijoe. Có hơn 300 tệp trong số này trên nhóm.

Nhãn vận chuyển đưa ra một số ví dụ về PII của khách hàng:

• Tên đầy đủ
• Số điện thoại
• Địa chỉ giao hàng
• Mã vạch sản phẩm

Bạn có thể xem nhãn vận chuyển cho đơn đặt hàng của một khách hàng bên dưới.

 

Ngoài dữ liệu được đề cập ở trên, thùng của Melijoe cũng chứa thông tin về Melijoe's Danh mục sản phẩm và mức cổ phiếu.

Chúng tôi chỉ có thể phân tích một mẫu nội dung của thùng vì lý do đạo đức. Với số lượng lớn tệp được lưu trữ trên nhóm, có thể có một số dạng dữ liệu nhạy cảm khác bị lộ.

Nhóm Amazon S3 của Melijoe đã hoạt động và đang được cập nhật tại thời điểm phát hiện.

Điều quan trọng cần lưu ý là Amazon không quản lý nhóm của Melijoe và do đó, không chịu trách nhiệm về việc cấu hình sai của nó.

Melijoe.com bán sản phẩm cho cơ sở khách hàng toàn cầu và như vậy, khách hàng từ khắp nơi trên toàn cầu đã được tiếp xúc với những sản phẩm không đảm bảo. Chủ yếu, khách hàng từ Pháp, Nga, Đức, Vương quốc Anh và Hoa Kỳ bị ảnh hưởng.

Chúng tôi ước tính rằng có tới 200,000 người đã để lộ thông tin của họ trên bộ chứa Amazon S3 không bảo mật của Melijoe. Con số này dựa trên số lượng địa chỉ email duy nhất mà chúng tôi thấy trên nhóm.

Bạn có thể xem bảng phân tích đầy đủ về mức độ hiển thị dữ liệu của Melijoe trong bảng bên dưới.

Số lượng tệp được hiển thị	Gần 2 triệu tệp
Số lượng người dùng bị ảnh hưởng	Lên đến 200,000
Lượng dữ liệu được hiển thị	Khoảng 200 GB
Vị trí công ty	Nước pháp

Nhóm chứa các tệp được tải lên từ tháng 2016 năm 8 đến ngày chúng tôi phát hiện ra nó — ngày 2021 tháng XNUMX năm XNUMX.

Theo phát hiện của chúng tôi, dữ liệu về các tệp liên quan đến mua hàng và danh sách yêu thích đã được thực hiện trong vài năm. Các giao dịch mua được nêu chi tiết trên nhóm của Melijoe được thực hiện từ tháng 2013 năm 2017 đến tháng 2012 năm 2017, trong khi danh sách mong muốn được tạo từ tháng XNUMX năm XNUMX đến tháng XNUMX năm XNUMX.

Vào ngày 12 tháng 2021 năm 22, chúng tôi đã nhắn tin cho Melijoe về nhóm mở của nó và vào ngày 2021 tháng 25 năm 2021, chúng tôi đã gửi một tin nhắn tiếp theo tới một số địa chỉ liên hệ cũ và mới của Melijoe. Vào ngày 15 tháng 2021 năm XNUMX, chúng tôi đã liên hệ với Nhóm Ứng cứu Khẩn cấp Máy tính của Pháp (CERT) và AWS, đồng thời gửi các thông báo tiếp theo cho cả hai tổ chức vào ngày XNUMX tháng XNUMX năm XNUMX. CERT của Pháp đã trả lời và chúng tôi tiết lộ vi phạm một cách có trách nhiệm. CERT của Pháp cho biết họ sẽ liên hệ với Melijoe nhưng chúng tôi không bao giờ nhận được phản hồi từ họ nữa.

Vào ngày 5 tháng 2022 năm 10, chúng tôi đã liên hệ với CNIL và theo dõi vào ngày 2022 tháng 10 năm 2022. CNIL trả lời một ngày sau đó, thông báo cho chúng tôi rằng “vụ việc đang được các dịch vụ của chúng tôi xử lý”. Chúng tôi cũng đã liên hệ với CERT của Pháp vào ngày XNUMX tháng XNUMX năm XNUMX, người này cho chúng tôi biết "Rất tiếc, sau nhiều lần nhắc nhở, chủ sở hữu của thùng đã không trả lời tin nhắn của chúng tôi."

Thùng được bảo vệ vào ngày 18 tháng 2022 năm XNUMX.

Cả melijoe.com và khách hàng của mình đều có thể phải đối mặt với các tác động từ việc phơi bày dữ liệu này.

Tác động vi phạm dữ liệu

Chúng tôi không thể và không biết liệu những kẻ độc hại có truy cập vào các tệp được lưu trữ trên bộ chứa Amazon S3 đang mở của Melijoe hay không. Tuy nhiên, không có bảo vệ bằng mật khẩu, thùng của melijoe.com có ​​thể dễ dàng truy cập cho bất kỳ ai có thể đã tìm thấy URL của nó.

Điều đó có nghĩa là tin tặc hoặc tội phạm có thể đã đọc hoặc tải xuống các tệp của nhóm. Những kẻ xấu có thể nhắm vào những khách hàng của Melijoe đã tiếp xúc với các hình thức tội phạm mạng nếu trường hợp đó xảy ra.

Melijoe cũng có thể bị giám sát vì vi phạm bảo vệ dữ liệu.

Ảnh hưởng đến khách hàng

Khách hàng của melijoe.com tiếp xúc có nguy cơ bị tội phạm mạng vì vi phạm dữ liệu này. Khách hàng có nhiều ví dụ về dữ liệu cá nhân và dữ liệu nhạy cảm được hiển thị trên nhóm.

Như đã đề cập, những khách hàng có danh sách mong muốn lớn hơn hoặc lịch sử mua hàng lớn hơn đã có nhiều thông tin hơn về các sản phẩm ưa thích của họ. Những cá nhân này có thể phải đối mặt với các cuộc tấn công phù hợp và chi tiết hơn vì tin tặc có thể tìm hiểu thêm về sở thích và không thích của họ. Những khách hàng này cũng có thể được nhắm mục tiêu dựa trên giả định rằng họ giàu có và có khả năng mua nhiều sản phẩm cao cấp.

Lừa đảo & Phần mềm độc hại

Tin tặc có thể nhắm mục tiêu đến những khách hàng tiếp xúc với Melijoe với các cuộc tấn công lừa đảo và phần mềm độc hại nếu họ đã truy cập các tệp của nhóm.

Nhóm Amazon S3 của Melijoe chứa gần 200,000 địa chỉ email của khách hàng duy nhất, có thể cung cấp cho tin tặc một danh sách dài các mục tiêu tiềm năng.

Tin tặc có thể liên hệ với những khách hàng này khi đóng giả là nhân viên hợp pháp của melijoe.com. Tin tặc có thể tham khảo bất kỳ một trong số các chi tiết được tiết lộ để xây dựng một câu chuyện xung quanh email. Ví dụ: tin tặc có thể tham khảo sở thích / danh sách mong muốn của một người để thuyết phục khách hàng rằng họ đang được cung cấp một thỏa thuận.

Một khi nạn nhân tin tưởng hacker, kẻ xấu có thể thực hiện các nỗ lực lừa đảo và phần mềm độc hại.

Trong một cuộc tấn công lừa đảo, tin tặc sẽ sử dụng lòng tin để cưỡng chế thông tin cá nhân và nhạy cảm hơn từ nạn nhân. Chẳng hạn, hacker có thể thuyết phục nạn nhân tiết lộ thông tin đăng nhập thẻ tín dụng của họ hoặc nhấp vào một liên kết độc hại. Sau khi được nhấp vào, các liên kết như vậy có thể tải phần mềm độc hại xuống thiết bị của nạn nhân — phần mềm độc hại cho phép tin tặc tiến hành các hình thức thu thập dữ liệu và tội phạm mạng khác.

Lừa đảo & Lừa đảo

Tin tặc cũng có thể nhắm mục tiêu đến những khách hàng tiếp xúc với gian lận và lừa đảo nếu họ đã truy cập các tệp của nhóm.

Tội phạm mạng có thể nhắm mục tiêu đến những khách hàng bị lộ thông qua email, sử dụng thông tin từ nhóm để xuất hiện như một người đáng tin cậy với lý do hợp lệ để liên hệ.

Tin tặc có thể khai thác lòng tin của mục tiêu để tiến hành gian lận & lừa đảo — các âm mưu được thiết kế để lừa nạn nhân giao tiền. Ví dụ: tin tặc có thể sử dụng chi tiết đơn hàng và thông tin giao hàng để thực hiện hành vi lừa đảo giao hàng. Tại đây, hacker có thể yêu cầu nạn nhân trả một khoản phí giao hàng giả để nhận hàng của họ.

Tác động đến melijoe.com

Melijoe có thể phải chịu cả tác động pháp lý và hình sự do sự cố dữ liệu của mình. Nhóm Amazon S3 bị định cấu hình sai của công ty có thể đã vi phạm luật bảo vệ dữ liệu, trong khi các doanh nghiệp khác có thể truy cập nội dung của nhóm với chi phí của melijoe.com.

Vi phạm Bảo vệ Dữ liệu

Melijoe có thể đã vi phạm Quy định chung về bảo vệ dữ liệu (GDPR) của EU do nhóm của công ty bị định cấu hình sai, làm lộ dữ liệu của khách hàng.

GDPR bảo vệ dữ liệu cá nhân và nhạy cảm của công dân EU. GDPR quản lý các công ty về việc thu thập, lưu trữ và sử dụng dữ liệu của khách hàng và mọi hành vi xử lý dữ liệu không đúng cách đều bị trừng phạt theo quy định.

Ủy ban nationale de l'informatique et des libertés (CNIL) là cơ quan bảo vệ dữ liệu của Pháp và chịu trách nhiệm thực thi GDPR. Melijoe có thể chịu sự giám sát của CNIL. CNIL có thể đưa ra mức phạt tối đa là 20 triệu € (~ 23 triệu đô la Mỹ) hoặc 4% doanh thu hàng năm của công ty (tùy theo mức nào lớn hơn) nếu vi phạm GDPR.

Thùng Amazon S3 mở của Melijoe không chỉ tiết lộ dữ liệu của công dân EU mà còn của khách hàng từ các quốc gia trên thế giới. Do đó, melijoe.com có ​​thể phải chịu các hình phạt từ một số khu vực pháp lý khác ngoài CNIL. Ví dụ: Ủy ban Thương mại Liên bang (FTC) của Hoa Kỳ có thể chọn điều tra melijoe.com về khả năng vi phạm Đạo luật FTC và Văn phòng Ủy viên Thông tin của Vương quốc Anh (ICO) có thể điều tra melijoe.com về khả năng vi phạm Đạo luật bảo vệ dữ liệu 2018.

Với những khách hàng tiếp xúc từ nhiều lục địa khác trong nhóm của Melijoe, nhiều cơ quan bảo vệ dữ liệu có thể chọn điều tra melijoe.com.

Gián điệp cạnh tranh

Thông tin bị lộ có thể bị tin tặc thu thập và bán cho các bên thứ ba quan tâm đến dữ liệu. Điều này có thể bao gồm các doanh nghiệp là đối thủ cạnh tranh của melijoe.com, chẳng hạn như các nhà bán lẻ quần áo khác. Các đại lý tiếp thị cũng có thể thấy giá trị trong dữ liệu của nhóm.

Các doanh nghiệp đối thủ có thể sử dụng dữ liệu để thực hiện gián điệp cạnh tranh. Đặc biệt, các đối thủ cạnh tranh có thể truy cập danh sách khách hàng của melijoe.com để tìm kiếm khách hàng tiềm năng cho doanh nghiệp của họ. Các doanh nghiệp đối thủ có thể liên hệ với những khách hàng tiếp xúc với các đề nghị nhằm cố gắng đánh cắp doanh nghiệp khỏi Melijoe và củng cố cơ sở khách hàng của riêng họ.

Ngăn lộ dữ liệu

Chúng ta có thể làm gì để giữ an toàn cho dữ liệu của mình và giảm thiểu rủi ro bị lộ?

Dưới đây là một số mẹo để ngăn dữ liệu bị lộ:

• Chỉ cung cấp thông tin cá nhân của bạn cho các cá nhân, tổ chức và đơn vị mà bạn hoàn toàn tin tưởng.
• Chỉ truy cập các trang web có miền bảo mật (tức là các trang web có ký hiệu “https” và / hoặc khóa đóng ở đầu tên miền của chúng).
• Hãy đặc biệt cẩn thận khi cung cấp các dạng dữ liệu nhạy cảm nhất, chẳng hạn như số an sinh xã hội của bạn.
• Tạo mật khẩu không thể phá vỡ sử dụng kết hợp các chữ cái, số và ký hiệu. Cập nhật mật khẩu hiện có của bạn thường xuyên.
• Không nhấp vào liên kết trong email, tin nhắn hoặc bất kỳ nơi nào khác trên internet trừ khi bạn chắc chắn rằng nguồn là hợp pháp.
• Chỉnh sửa cài đặt quyền riêng tư của bạn trên các trang web truyền thông xã hội để chỉ bạn bè và người dùng đáng tin cậy mới có thể xem nội dung của bạn.
• Tránh hiển thị hoặc nhập các dạng dữ liệu quan trọng (chẳng hạn như số thẻ tín dụng hoặc mật khẩu) khi được kết nối với mạng WiFi không an toàn.
• Tự giáo dục bản thân về tội phạm mạng, bảo vệ dữ liệu và các phương pháp làm giảm khả năng bạn trở thành nạn nhân của các cuộc tấn công lừa đảo và phần mềm độc hại.

Về chúng tôi

SafetyDetectives.com là trang web đánh giá chống vi-rút lớn nhất thế giới.

Phòng nghiên cứu SafetyDetectives là một dịch vụ chuyên nghiệp nhằm mục đích giúp cộng đồng trực tuyến tự bảo vệ mình trước các mối đe dọa mạng đồng thời giáo dục các tổ chức về cách bảo vệ dữ liệu người dùng của họ. Mục đích tổng quát của dự án lập bản đồ web của chúng tôi là giúp làm cho Internet trở thành một nơi an toàn hơn cho tất cả người dùng.

Các báo cáo trước đây của chúng tôi đã đưa ra ánh sáng nhiều lỗ hổng bảo mật cao và rò rỉ dữ liệu, bao gồm 2.6 triệu người dùng bị lộ bởi một Nền tảng phân tích xã hội của Mỹ IGBlade, cũng như vi phạm tại Nền tảng tích hợp thị trường Brazil Hariexpress.com.br đã làm rò rỉ hơn 610 GB dữ liệu.

Để có đánh giá đầy đủ về báo cáo an ninh mạng của SafetyDetectives trong 3 năm qua, hãy làm theo  Nhóm an ninh mạng SafetyDetectives.

• Coinsmart. Sàn giao dịch Bitcoin và tiền điện tử tốt nhất Châu Âu.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. TRUY CẬP MIỄN PHÍ.
• CryptoHawk. Radar Altcoin. Dùng thử miễn phí.
• Nguồn: https://www.safetydetectives.com/news/melijoe-leak-report/