Косметический гигант потерял информацию миллионов клиентов и внутреннюю конфиденциальную информацию по вине консалтинговой фирмы.
ИБ-исследователи обнаружили незащищенный сервер Elasticsearch, принадлежащий Aliznet, которая, помимо Yves Rocher, предоставляет консалтинговые услуги IBM, Salesforce, Sephora и Louboutin.
В базе нашлись личные данные 2,5 млн канадских клиентов Yves Rocher – имена и фамилии, номера телефонов, адреса электронной почты, даты рождения и почтовые индексы. Также в открытый доступ попали детали 6 млн клиентских заказов. Эта информация позволяет идентифицировать людей, сделавших покупки в сети Yves Rocher.
«Для каждого заказа мы смогли просмотреть сумму транзакции, используемую валюту, дату доставки и местоположение магазина, в котором была сделана покупка», – отметили ИБ-исследователи.
Нашлась на сервере и внутренняя информация о работе компании – статистика по трафику магазинов, оборот и объем заказов, описания 40 000 продуктов с указанием ингредиентов и цен.
Исследователи предупредили, что утечка данных «может навредить компании на разных уровнях». Персональные данные миллионов людей интересны и злоумышленникам, и конкурентам бренда. Канадские производители косметики могут с успехом использовать маркетинговую информацию о работе Yves Rocher и ее клиентах в рекламных кампаниях по переманиванию покупателей.
А данные о вашей компании и клиентах надежно защищены? Проведите быстрый аудит файловой системы и установите правила работы с конфиденциальной информацией с помощью «СёрчИнформ FileAuditor». Узнать больше.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных