奢侈品儿童时尚电子商务网站向全球客户展示

简介

安全侦探 安全团队发现了影响法国儿童时尚电子商务网站 melijoe.com 的数据泄露事件。

Melijoe 是一家总部位于法国的高端儿童时装零售商。 该公司拥有的一个 Amazon S3 存储桶在没有适当的身份验证控制的情况下仍可访问，从而为潜在的数十万客户暴露敏感数据和个人数据。

Melijoe 具有全球影响力，因此，此事件影响了位于世界各地的客户。

什么是梅里乔？

melijoe.com成立于2007年，是一家专注于奢侈童装的电子商务时尚零售商。 该公司为女孩、男孩和婴儿提供服装。 Melijoe.com 还拥有顶级品牌，例如 Ralph Lauren、Versace、Tommy Hilfiger 和 Paul Smith Junior。

“Melijoe”由正式注册为BEBEO的公司运营，总部位于法国巴黎。 据 MELIJOE.COM 称，BEBEO 的注册资本约为 950,000 欧元（约合 1.1 万美元）。 Melijoe 服务在 12.5 轮融资（根据 Crunchbase）中产生了 14 万欧元（约 2 万美元）。

Melijoe 于 2020 年底与著名的瑞典儿童时尚集团 Babyshop Group (BSG) 合并，该公司在一系列高街和电子商务商店的年营业额达 1 亿瑞典克朗（约 113 亿美元）。

多项指标证实 Melijoe/BEBEO 对打开的 Amazon S3 存储桶有影响。 虽然桶中的品牌、生日和其他内容表明店主是一家法国儿童时装零售商，但也始终提到“Bebeo”。 最重要的是，存储桶包含 melijoe.com 的站点地图：

暴露了什么？

总共，melijoe.com 错误配置的 Amazon S3 存储桶暴露了近 2 万个文件，总计约 200 GB 的数据。

存储桶上的一些文件暴露了数十万条日志，其中包含 敏感数据 和 个人身份信息（PII） of 梅利乔的客户。

这些文件包含不同的数据集： 偏好、愿望清单、 和 购买。

存储桶上还有其他文件类型，包括 货运标签 以及一些与melijoe.com 的产品库存相关的数据。

优先

优先 数据是从客户帐户中导出的。 这些数据揭示了消费者在购买决定方面的品味、喜好和厌恶细节。 有 数万条日志 在一个文件中找到。

优先 暴露的形式 客户 PII 和 敏感的客户数据， 如：:

• 电子邮件地址
• 孩子们的名字
• 性别
• 出生日期
• 品牌偏好

偏好数据可以通过购买数据和现场点击来收集。 首选项通常用于个性化每个客户的产品推荐。

你可以看到偏好的证据 联络一位教师

心愿

心愿 数据揭示了客户现场愿望清单的详细信息——每个客户策划的所需产品的集合。 同样，这些信息似乎是从客户账户中获取的。 有 超过 750,000 条日志 在一个数据属于 over 的文件上 63,000 个唯一用户的电子邮件地址。

心愿 暴露的形式 客户 PII 和 敏感的客户数据:

• 电子邮件地址
• 将产品添加到愿望清单的日期
• 从愿望清单中删除产品的日期（如果已删除）
• 项目代码， 用于内部识别产品

愿望清单是由客户自己创建的，而不是通过跟踪现场行为。 愿望清单从一件到数千件不等。 更长的愿望清单可以让人们更多地了解客户最喜欢的物品。

以下屏幕截图显示了愿望清单的证据。

购买者

购买者 数据显示超过 1.5万项 买进 数十万订单. 有订单来自 超过 150,000 个唯一的电子邮件地址 在一个文件上。

购买者 裸露 客户 PII 和 敏感的客户数据，包括：

• 电子邮件地址
• 订购商品的 SKU 代码
• 下单时间
• 订单的财务细节， 包括支付的价格和货币
• 支付方式， 即签证，贝宝等
• 配送信息， 公司交货地址和交货日期
• 账单地址

购买者 与其他两个数据集相比，数据似乎影响了最多的用户。 这些日志广泛详细地描述了 Melijoe 客户的购买行为。 同样，这揭示了可用于对付消费者的私人信息。

一些客户购买了大量产品，而其他客户只购买了一两件商品。 与愿望清单一样，订购更多商品的客户会获得更多关于他们喜欢的产品的信息。

下面的屏幕截图显示了购买日志的证据。

运输标签

Melijoe 的 AWS S3 存储桶包含 货运标签. 运输标签与 Melijoe 客户的订单相关联。 存储桶上有 300 多个这样的文件。

运输标签 暴露了几个例子 客户 PII：

• 全名
• 电话号码
• 收货地址
• 产品条码

您可以在下方看到一位客户订单的发货标签。

 

除了上面提到的数据，Melijoe 的 bucket 还包含 Melijoe 的信息 产品目录 和 库存水平。

出于道德原因，我们只能分析水桶内容物的样本。 鉴于存储在存储桶上的大量文件，可能还会暴露其他几种形式的敏感数据。

Melijoe 的 Amazon S3 存储桶在发现时处于活动状态并正在更新。

需要注意的是，Amazon 不管理 Melijoe 的存储桶，因此不对它的错误配置负责。

Melijoe.com 向全球客户群销售产品，因此，来自全球的客户已被暴露在无担保的桶中。 主要是来自法国、俄罗斯、德国、英国和美国的客户受到影响。

我们估计，多达 200,000 人的信息暴露在 Melijoe 的不安全 Amazon S3 存储桶上。 该数字基于我们在存储桶中看到的唯一电子邮件地址的数量。

您可以在下表中查看 Melijoe 数据暴露的完整细分。

暴露的文件数	近 2 万个文件
受影响的用户数	最高 200,000
暴露的数据量	大约 200 GB
公司所在地	法国

该存储桶包含在 2016 年 8 月到我们发现它的日期（2021 年 XNUMX 月 XNUMX 日）之间上传的文件。

根据我们的调查结果，与购买和愿望清单相关的文件数据是几年来制作的。 Melijoe 的购物桶中详细列出的购买是在 2013 年 2017 月至 2012 年 2017 月期间进行的，而愿望清单则是在 XNUMX 年 XNUMX 月至 XNUMX 年 XNUMX 月期间创建的。

12 年 2021 月 22 日，我们向 Melijoe 发送了关于其 open bucket 的消息，并于 2021 年 25 月 2021 日，我们向 Melijoe 的一些新老联系人发送了后续消息。 15 年 2021 月 XNUMX 日，我们联系了法国计算机应急响应小组 (CERT) 和 AWS，并于 XNUMX 年 XNUMX 月 XNUMX 日向这两个组织发送了后续消息。法国 CERT 回复了我们，我们负责任地披露了违规行为。 法国 CERT 表示他们会联系 Melijoe，但我们再也没有收到他们的回复。

5年2022月10日，我们联系了CNIL，并于2022年10月2022日跟进。CNIL在一天后回复，通知我们“案件正在我们的服务中处理”。 我们还于 XNUMX 年 XNUMX 月 XNUMX 日联系了法国 CERT，他们告诉我们“很遗憾，经过多次提醒，桶的所有者没有回复我们的消息。”

该桶于 18 年 2022 月 XNUMX 日固定。

melijoe.com 及其客户都可能面临这种数据暴露的影响。

数据泄露影响

我们不能也不知道恶意行为者是否访问了 Melijoe 开放的 Amazon S3 存储桶中存储的文件。 但是，由于没有密码保护，任何可能找到其 URL 的人都可以轻松访问 melijoe.com 的存储桶。

这意味着黑客或犯罪分子可能已经阅读或下载了存储桶的文件。 如果是这种情况，不良行为者可能会以网络犯罪形式针对暴露的 Melijoe 客户。

Melijoe 也可能因违反数据保护而受到审查。

对客户的影响

由于这种数据泄露，暴露的 melijoe.com 客户面临网络犯罪风险。 客户拥有大量暴露在存储桶上的个人和敏感数据示例。

如前所述，具有更大愿望清单或更大购买历史的客户已经获得了更多关于他们喜欢的产品的信息。 随着黑客可以更多地了解他们的好恶，这些人可能会面临更有针对性和更详细的攻击。 这些客户也可以基于他们富有并且有能力购买大量高端产品的假设而成为目标。

网络钓鱼和恶意软件

黑客可以针对暴露的 Melijoe 客户使用 网络钓鱼攻击和恶意软件 如果他们访问了存储桶的文件。

Melijoe 的 Amazon S3 存储桶包含近 200,000 个唯一客户的电子邮件地址，可以为黑客提供一长串潜在目标。

黑客可以冒充 melijoe.com 的合法员工联系这些客户。 黑客可以参考几个暴露细节中的任何一个来围绕电子邮件构建叙述。 例如，黑客可以参考一个人的偏好/愿望清单来说服客户他们正在接受交易。

一旦受害者信任黑客，不良行为者就可以发起网络钓鱼尝试和恶意软件。

在网络钓鱼攻击中，黑客将利用信任来强迫受害者提供更敏感和个人的信息。 例如，黑客可能会说服受害者披露他们的信用卡凭证，或者点击恶意链接。 一旦点击，此类链接就会将恶意软件下载到受害者的设备上——该恶意软件允许黑客进行其他形式的数据收集和网络犯罪。

欺诈与诈骗

黑客还可以针对暴露的客户使用 欺诈和诈骗 如果他们访问了存储桶的文件。

网络犯罪分子可以通过电子邮件瞄准暴露的客户，使用存储桶中的信息来表现为一个值得信赖的人，并有充分的理由伸出援手。

黑客可以利用目标的信任进行欺诈和诈骗——旨在诱骗受害者交出金钱的计划。 例如，黑客可以使用订单详细信息和送货信息进行送货诈骗。 在这里，黑客可以要求受害者支付虚假的运费来接收他们的货物。

对 melijoe.com 的影响

Melijoe 可能因其数据事件而遭受法律和刑事影响。 该公司配置错误的 Amazon S3 存储桶可能违反了数据保护法，而其他企业可能会以 melijoe.com 的费用访问存储桶的内容。

数据保护违规

Melijoe 可能违反了欧盟的通用数据保护条例 (GDPR)，因为该公司的存储桶配置错误，暴露了其客户的数据。

GDPR 保护欧盟公民的敏感数据和个人数据。 GDPR 对公司收集、存储和使用客户数据进行监管，任何不当处理数据的行为都将受到监管。

国家信息与自由委员会 (CNIL) 是法国的数据保护机构，负责执行 GDPR。 Melijoe 可能会受到 CNIL 的审查。 CNIL 可对违反 GDPR 的行为处以最高 20 万欧元（约 23 万美元）或公司年营业额 4% 的罚款（以较大者为准）。

Melijoe 的开放式 Amazon S3 存储桶不仅暴露了欧盟公民的数据，还暴露了来自世界各国的客户的数据。 因此，melijoe.com 可能会受到除 CNIL 之外的其他几个司法管辖区的处罚。 例如，美国联邦贸易委员会 (FTC) 可能会选择调查 melijoe.com 是否可能违反 FTC 法案，而英国信息专员办公室 (ICO) 可能会调查 melijoe.com 是否可能违反2018 年数据保护法。

由于 Melijoe 的存储桶中有来自其他各大洲的暴露客户，许多数据保护机构可以选择调查 melijoe.com。

竞争间谍

暴露的信息可能会被黑客收集并出售给对数据感兴趣的第三方。 这可能包括作为 melijoe.com 竞争对手的企业，例如其他服装零售商。 营销机构也可能会在存储桶的数据中看到价值。

竞争对手企业可以使用这些数据来执行 竞争间谍活动。 特别是，竞争对手可以访问 melijoe.com 的客户列表，为自己的业务寻找潜在客户。 竞争对手的企业可能会联系暴露的客户提供报价，以试图从 Melijoe 那里窃取业务并加强自己的客户群。

防止数据泄露

我们可以做些什么来保证我们的数据安全并降低暴露风险？

以下是一些防止数据泄露的提示：

• 仅将您的个人信息提供给您完全信任的个人、组织和实体。
• 仅访问具有安全域的网站（即域名开头带有“https”和/或封闭锁符号的网站）。
• 在提供您最敏感的数据形式时要特别小心，例如您的社会保险号。
• 创建混合使用字母、数字和符号的牢不可破的密码。 定期更新您现有的密码。
• 除非您确定来源是合法的，否则不要单击电子邮件、消息或 Internet 上任何其他地方的链接。
• 在社交媒体网站上编辑您的隐私设置，以便只有朋友和受信任的用户才能看到您的内容。
• 连接到不安全的 WiFi 网络时，避免显示或输入重要形式的数据（例如信用卡号或密码）。
• 教育自己了解网络犯罪、数据保护以及降低成为网络钓鱼攻击和恶意软件受害者机会的方法。

关于我们

安全侦探网 是世界上最大的防病毒评论网站。

SafetyDetectives研究实验室是一项免费服务，旨在帮助在线社区防御网络威胁，同时教育组织如何保护其用户数据。 我们的网络映射项目的总体目的是帮助使互联网成为所有用户的更安全场所。

我们之前的报告揭露了多个备受瞩目的漏洞和数据泄露，其中包括 2.6 万用户被 美国社交分析平台 IGBlade，以及违反 巴西市场集成商平台 Hariexpress.com.br 泄漏了超过610 GB的数据。

要对过去3年的SafetyDetectives网络安全报告进行全面审查，请关注  SafetyDetectives网络安全团队.

• 硬币聪明。 欧洲最好的比特币和加密货币交易所。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 自由登入。
• 加密鹰。 山寨币雷达。 免费试用。
• 资料来源：https://www.safetydetectives.com/news/melijoe-leak-report/