Os pesquisadores da vpnMentor descobriram o servidor Elasticsearch não criptografado em 28 de junho e a controladora BrandBQ finalmente o garantiu cerca de um mês depois, em 20 de agosto.
O varejista com sede em Cracóvia opera lojas online e físicas em toda a Europa Oriental, na: Polônia, Romênia, Hungria, Bulgária, Eslováquia, Ucrânia e República Tcheca. Suas principais marcas são a Reply e WearMedicine.com.
Entre o um bilhão de entradas no banco de dados exposto, 6,7 milhões de registros relacionados a clientes online, com cada entrada apresentando informações de identificação pessoal (PII), incluindo nomes completos, e-mail e endereços residenciais, datas de nascimento, números de telefone e registros de pagamento (embora não seja cartão detalhes).
Outros 50.000 registros relacionados a contratados locais em certas jurisdições incluíam informações adicionais, como números de IVA e informações de compra. O banco de dados também continha registros de chamadas de API do aplicativo móvel da Resposta, expondo PII em 500.000 usuários do aplicativo Android e um número desconhecido que baixou a versão iOS, afirmou o vpnMentor.
Os dados expostos podem ter fornecido aos cibercriminosos uma fonte útil de PII para lançar ataques de phishing convincentes e fraude de identidade, acrescentou.
“A mesma tática poderia ser usada contra os empreiteiros expostos no vazamento e contra o próprio BrandBQ. Uma campanha de phishing bem-sucedida contra uma empresa pode ser absolutamente devastadora e desafiadora de superar ”, explicou a empresa em um blog.
“Além disso, basta um único funcionário, sem nenhuma instrução sobre crimes cibernéticos, clicar em um link em um e-mail que pode infectar toda a rede de uma empresa. Com mais de 700 funcionários, este é um risco real para a BrandBQ.”
Os invasores teoricamente também poderiam ter aproveitado os dados para espionagem corporativa e usado “informações técnicas confidenciais” no banco de dados para sondar vulnerabilidades a serem exploradas.
Fonte: https://www.infosecurity-magazine.com/news/fashion-retailer-brandbq-seven/
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…