Data van miljoenen gebruikers op straat door blootliggende database

Abonneer je gratis op Techzine!

Een cloud-database van cosmeticagigant Estée Lauder was lange tijd open toegankelijk voor derden, waardoor de gegevens van miljoenen klanten gratis af te halen waren. Cybersecurityonderzoeker Jeremiah Fowler van Security Discovery heeft de onbeschermde klantendatabase ontdekt.

De data was te vinden in de vorm van platte tekst, dus er waren geen extra stappen nodig om de data te ontsleutelen. De informatie bestond onder meer uit e-mailadressen en gegevens van lokale content management systemen (CMS). Er werden geen betalingsgegevens of gevoelige informatie van werknemers gevonden, maar de 440 miljoen gegevens bieden voor criminelen een hoop mogelijkheden voor bijvoorbeeld identiteitsfraude.

“Dit bedrijf is al meer dan 70 jaar een begrip en had in 2019 een jaarlijkse omzet van 14,9 miljard dollar. Het lijkt logisch dat er een grote dataset aan het bedrijf verbonden zou zijn”, vertelt Fowler over het datalek.

De dataset was kortom gewoon niet beschermd. Fowler voegde er overigens nog aan toe dat hij nog niet heeft geïdentificeerd hoeveel verschillende personen er precies in de database kunnen worden gevonden, aangezien hij zich wilde haasten om het datalek te melden aan het bedrijf. Wel lijkt het met 440 miljoen gegevens niet vergezocht om van miljoenen gebruikers te spreken. Estée Lauder heeft de database binnen 24 uur na de waarschuwing van Fowler op slot gegooid, maar het is niet precies duidelijk hoe lang de gegevens daadwerkelijk bloot hebben gelegen.

Risico’s

Naast identiteitsfraude kunnen interne e-mailadressen ook worden gebruikt voor phishingaanvallen. Daarbij doen hackers zich bijvoorbeeld als teamleden voor, om vervolgens medewerkers te verleiden tot het downloaden van malware. IP-adressen, ports, pathways en opslaginformatie kunnen verder worden gebruikt om het interne netwerk van het bedrijf te verkennen, met de daaropvolgende mogelijkheden van dien.