Os pesquisadores da vpnMentor descobriram o servidor Elasticsearch não criptografado em 28 de junho e a controladora BrandBQ finalmente o garantiu cerca de um mês depois, em 20 de agosto.
O varejista com sede em Cracóvia opera lojas online e físicas em toda a Europa Oriental, na: Polônia, Romênia, Hungria, Bulgária, Eslováquia, Ucrânia e República Tcheca. Suas principais marcas são a Reply e WearMedicine.com.
Entre o um bilhão de entradas no banco de dados exposto, 6,7 milhões de registros relacionados a clientes online, com cada entrada apresentando informações de identificação pessoal (PII), incluindo nomes completos, e-mail e endereços residenciais, datas de nascimento, números de telefone e registros de pagamento (embora não seja cartão detalhes).
Outros 50.000 registros relacionados a contratados locais em certas jurisdições incluíam informações adicionais, como números de IVA e informações de compra. O banco de dados também continha registros de chamadas de API do aplicativo móvel da Resposta, expondo PII em 500.000 usuários do aplicativo Android e um número desconhecido que baixou a versão iOS, afirmou o vpnMentor.
Os dados expostos podem ter fornecido aos cibercriminosos uma fonte útil de PII para lançar ataques de phishing convincentes e fraude de identidade, acrescentou.
“A mesma tática poderia ser usada contra os empreiteiros expostos no vazamento e contra o próprio BrandBQ. Uma campanha de phishing bem-sucedida contra uma empresa pode ser absolutamente devastadora e desafiadora de superar ”, explicou a empresa em um blog.
“Além disso, basta um único funcionário, sem nenhuma instrução sobre crimes cibernéticos, clicar em um link em um e-mail que pode infectar toda a rede de uma empresa. Com mais de 700 funcionários, este é um risco real para a BrandBQ.”
Os invasores teoricamente também poderiam ter aproveitado os dados para espionagem corporativa e usado “informações técnicas confidenciais” no banco de dados para sondar vulnerabilidades a serem exploradas.
Fonte: https://www.infosecurity-magazine.com/news/fashion-retailer-brandbq-seven/
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…