Avon, marca de produse cosmetice care a suferit un presupus atac de ransomware în iunie 2020, s-a trezit în centrul unui nou și semnificativ incident de securitate după ce a lăsat, din greșeală, un server Microsoft Azure expus la internetul public fără protecție prin parolă sau criptare.
Descoperită de Anurag Sen de la serviciul de comparare a instrumentelor de securitate SafetyDetectives, vulnerabilitatea a însemnat că oricine deținea adresa IP a serverului ar fi putut accesa o bază de date deschisă de informații.
Ultimul incident vine la puțin peste o lună după ce Avon a confirmat un incident major de securitate, deși nu sa confirmat că a fost un atac ransomware, care a dezactivat sistemele back-end offline și i-a lăsat pe mulți dintre reprezentanții săi renumiți în imposibilitatea de a plasa comenzi.
Conform SafetyDetectives, serverul cu scurgeri conținea jurnale API pentru site-urile web și mobile Avon, ceea ce înseamnă că toate informațiile despre serverul de producție, inclusiv 40.000 de jetoane de securitate și jetoane OAuth interne, au fost expuse.
OAuth, un cadru de autorizare standard deschis pentru autorizarea bazată pe token online, permite utilizarea informațiilor contului utilizatorului final de către un serviciu terț, cum ar fi Facebook sau Twitter, fără a-și expune acreditările. Efectiv, acționează ca un intermediar.
Jetoanele OAuth expiră după o anumită perioadă de timp, ceea ce înseamnă că utilizatorii trebuie să genereze jetoane de reîmprospătare pentru a obține unul nou. În cazul vulnerabilității Avon, au fost expuse atât jetoanele de conectare, cât și de reîmprospătare, ceea ce înseamnă că ar fi fost posibil ca un hacker să obțină acces complet la un cont de utilizator.
Serverul conținea, de asemenea, jurnale interne pe care infractorii cibernetici le-ar fi putut folosi pentru a ataca infrastructura IT a Avon sau pentru a injecta criptomineri, malware sau ransomware în sistemele sale. Este posibil ca acesta să fi fost în spatele problemelor operaționale ale firmei, deși, este foarte important că nu a fost confirmată încă nicio legătură.
Alte date expuse au inclus informații de identificare personală (PII), inclusiv nume complete, numere de telefon, date de naștere, adrese de e-mail, adrese de domiciliu, coordonate GPS, sume de plată, nume ale angajaților Avon și e-mailuri ale utilizatorilor de administrare.
Echipa SafetyDetectives a găsit aproape 7 GB de date și peste 19 milioane de înregistrări de documente pe server, care au fost acum securizate.
