hacking-computer

美国化妆品牌公司 Tarte 因数据库无密码保护,近 200 万客户信息在线泄露

  • 浏览次数 7190
  • 喜欢 0
  • 评分 12345

HackerNews.cc 10 月 25 日消息,网络安全公司 Kromtech 研究人员 Bob Diachenko 近期发现美国最受欢迎的化妆品公司 Tarte 因两台 MongoDB 数据库未设置加密权限,导致近 200 万用户信息在线泄露且被黑客组织 Cru3lty 的访问,其中包括客户姓名、地址、电子邮件、购买历史以及信用卡号码的最后四位数字。

知情人士透露,Kromtech 于 10 月 18 日发现此次数据泄露后立即向 Tarte 发出安全警报,虽然公司并未做出回应,但与该公司挂钩的所有数据库均在事件曝光后设置了访问权限。Diachenko 表示,他并不是唯一一个发现该公司数据泄露的人。经调查显示,黑客组织 Cru3lty 于早期就已访问该公司数据库信息并对其进行删除与加密操作。据悉,该组织还在公司数据库中留下了一封勒索赎金信函,要求公司支付比特币后才能对其进行恢复。目前,尚不清楚 Tarte 是否已经与 Cru3lty 取得联系并缴纳赎金,也不了解该数据库在线暴露时长。不过,公司发表声明:

“保障客户信息安全是我们的首要任务。现今,我们已经意识到事态发展的严峻程度,且正与执法部门取得合作。与此同时,我们还采取了安全措施,以确保公司数据得到最高保护。另外,公司也已通知受损客户与其合作伙伴增强防御体系。”

研究人员表示,不管是大公司还是小企业,一旦客户数据系统遭黑客入侵,其部分数据的泄露,或将导致犯罪分子可以交叉引用这些数据进行其他入侵,以获取客户完整卡号或更多信息。此外,如果受害者没有数据备份或安全防御措施,就可能对其造成极大损失。

原作者:India Ashok,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接

hackernews_foot