Em 30 de janeiro, Jeremiah Fowler, analista de dados e consultor de segurança da Security Discovery, encontrou registros de dados pertencentes a Estée Lauder, uma popular fabricante multinacional americana, e comerciante de skincare de prestígio.
O pesquisador afirma ter encontrado cerca de 440 milhões (440.336.852 registros precisos), incluindo os e-mails internos da empresa em formato de texto simples. Os dados foram armazenados no banco de dados sem qualquer autenticação de segurança, o que significa que qualquer pessoa poderia ter acessado os dados.
Segundo informações, não há evidências de que registros de clientes ou dados relacionados ao pagamento possam estar em risco com essa exposição. Isso significa que, no momento, não há qualquer risco direto para os clientes ou clientes da empresa ou clientes de suas marcas subsidiárias, incluindo MAC e Clinique.
No entanto, Fowler observou que os dados hackeados relacionados ao middleware podem possivelmente criar um ponto de entrada para cibercriminosos, usando os quais eles podem obter acesso a dados mais sensíveis em um futuro próximo. Para suas informações, middleware é um software que a Estée Lauder usa para facilitar serviços ou recursos comuns para aplicativos que não fazem parte do sistema operacional.
Dados vazados (Captura de tela: Descoberta de Segurança)
Como explica fowler, os aplicativos tratados pela Middleware incluem “gerenciamento de dados, serviços de aplicativos, mensagens, autenticação e gerenciamento de API. Outra ameaça é a criação de um caminho secundário para malware, que a Middleware pode facilmente criar. Isso pode levar a comprometer todos esses aplicativos e dados que o software lida.
“Neste caso, qualquer pessoa com uma conexão à internet poderia ver quais versões ou construções estão sendo usadas, os caminhos e outras informações que poderiam servir como um backdoor na rede”, escreveu Fowler em post no blog.
Estée Lauder não revelou o número de e-mails de usuários expostos, mas em seu comunicado enviado por e-mail, a empresa observou que os e-mails não estavam relacionados com os consumidores e vieram de sua plataforma de educação interna. No entanto, Fowler afirmou que a maioria dos e-mails que descobriu em formato de texto simples continha o domínio @estee[dot]com.
No entanto, devemos elogiar Estée Lauder por responder prontamente e bloquear o acesso público ao banco de dados no mesmo dia em que foi descoberto.
FONTE: HACK READ