欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

雅诗兰黛因不安全服务器泄露4.4亿条记录

来源:本站整理 作者:佚名 时间:2020-02-12 TAG: 我要投稿


近日,有安全研究人员表示,化妆品公司雅诗兰黛将一个缺乏保护措施的数据库暴露在互联网上,其中存储了4.4亿条记录。
雅诗兰黛总部设在纽约,旗下化妆品销往135多个国家和地区。雅诗兰黛公司拥有多个国际知名品牌。
安全研究人员Jeremiah Fowler于1月30日发现了这个暴露的数据库,他在数据库中的找到了用户电子邮件地址,在确定了来源后,立即试图与雅诗兰黛取得联系。
此次泄露总共涉及440,336,852条记录,其中包含大量的审计日志和电子邮件地址。
Fowler表示,暴露的数据包括以纯文本形式存在的电子邮件地址,来自@estee.com域的内部电子邮件地址也出现在数据库中。
此外,还有大量生产、审计、错误、CMS和中间件日志。只要有互联网连接,任何人都可以访问这些数据。更重要的是,数据库中还发现了对其他内部文件的引用。
IP地址、端口、路径和存储路径等内部网络细节也被公开,这可能潜在为网络罪犯提供了进入公司内部网络的方法。
安全研究人员指出,该数据库包含数百万条雅诗兰黛正在使用的中间件的相关记录。
Fowler解释到,中间件等应用软件通常可提供操作系统所不能提供的服务和功能,例如数据管理、应用服务、消息传递、身份验证和API管理等。
这种暴露所带来的另一个风险是,中间件可能会为攻击者指明攻击路径(了解到内部网络存在哪些数据和应用)。特别是在泄露的数据中明确指出了软件版本,路径,以及其他一切可被攻击者利用的敏感信息。
Fowler最后表示,在他进一步调查之前,数据库就已经被处理了,他相信数据库中没有存储任何支付数据或员工的敏感信息。
研究人员无法确定数据库中暴露的用户电子邮件地址的数量,以及这些数据在互联网上暴露的时间。目前还不清楚这些数据是否被未知第三方获取获取。
SecurityWeek已经联系了雅诗兰黛,希望获得更多有关此事件信息。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载