Os pesquisadores da vpnMentor descobriram o servidor Elasticsearch não criptografado em 28 de junho e a controladora BrandBQ finalmente o garantiu cerca de um mês depois, em 20 de agosto.
O varejista com sede em Cracóvia opera lojas online e físicas em toda a Europa Oriental, na: Polônia, Romênia, Hungria, Bulgária, Eslováquia, Ucrânia e República Tcheca. Suas principais marcas são a Reply e WearMedicine.com.
Entre o um bilhão de entradas no banco de dados exposto, 6,7 milhões de registros relacionados a clientes online, com cada entrada apresentando informações de identificação pessoal (PII), incluindo nomes completos, e-mail e endereços residenciais, datas de nascimento, números de telefone e registros de pagamento (embora não seja cartão detalhes).
Outros 50.000 registros relacionados a contratados locais em certas jurisdições incluíam informações adicionais, como números de IVA e informações de compra. O banco de dados também continha registros de chamadas de API do aplicativo móvel da Resposta, expondo PII em 500.000 usuários do aplicativo Android e um número desconhecido que baixou a versão iOS, afirmou o vpnMentor.
Os dados expostos podem ter fornecido aos cibercriminosos uma fonte útil de PII para lançar ataques de phishing convincentes e fraude de identidade, acrescentou.
“A mesma tática poderia ser usada contra os empreiteiros expostos no vazamento e contra o próprio BrandBQ. Uma campanha de phishing bem-sucedida contra uma empresa pode ser absolutamente devastadora e desafiadora de superar ”, explicou a empresa em um blog.
“Além disso, basta um único funcionário, sem nenhuma instrução sobre crimes cibernéticos, clicar em um link em um e-mail que pode infectar toda a rede de uma empresa. Com mais de 700 funcionários, este é um risco real para a BrandBQ.”
Os invasores teoricamente também poderiam ter aproveitado os dados para espionagem corporativa e usado “informações técnicas confidenciais” no banco de dados para sondar vulnerabilidades a serem exploradas.
Fonte: https://www.infosecurity-magazine.com/news/fashion-retailer-brandbq-seven/
Operadora japonesa confirma que invasão a sistema de e-mail compartilhado expôs até 14,22 milhões de…
Vazamento na fornecedora de IA para hospitais Xsolis atinge 1.396.519 indivíduos e inclui Social Security,…
Pesquisadores da Novee Security mapearam mais de 300 repositórios de alto impacto, em organizações como…
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…
JFrog descobre três pacotes npm publicados pelo usuário "abdrizak" que fingem ser utilitários PostCSS, instalam…