Un reporte de SafetyDetectives detalla un incidente de brecha de datos impactando en el sitio web francés de e-commerce Melijoe. Esta es una tienda minorista dedicada a la moda infantil operando un cubo de Amazon S3 que fue dejado accesible y sin controles de autenticación, exponiendo datos confidenciales y personales de cientos de miles de clientes.
En total, la implementación comprometida de Amazon S3 de Melijoe expuso casi 2 millones de archivos, equivalentes a casi 200 GB de datos. Unos pocos archivos en el depósito expusieron cientos de miles de registros que contenían datos confidenciales e información de identificación personal (PII) de los clientes de Melijoe.
Un primer conjunto de datos está relacionado con las preferencias de los clientes, incluyendo reseñas de productos y tendencias de compras, además de datos personales como:
- Direcciones email
- Nombres de menores de edad
- Género
- Fechas de nacimiento
- Preferencias de marcas
Estos datos de preferencias se utilizan a menudo para personalizar las recomendaciones de productos de cada cliente.
Otro conjunto de datos expuestos está relacionado con las listas de deseos (wishlists) de los usuarios. En estos registros se encuentran algunos productos que los clientes desean comprar en el futuro; al menos 750,000 de estos registros fueron expuestos con este conjunto de datos, incluyendo 63,000 direcciones email y otros datos como código del artículo agregado a la wishlist y fecha de adición.
Finalmente, la filtración incluye datos de más de 1.5 millones de transacciones en la tienda. Este registro incluye direcciones email, domicilio del comprador, método de pago, artículos comprados y nombre del comprador.
Este es el grupo de datos que afecta a la mayor cantidad de usuarios de la tienda en línea. Estos registros detallan ampliamente el comportamiento de compra de los clientes de Melijoe, lo que permitiría encontrar más detalles confidenciales de los usuarios.
Del mismo modo que otros incidentes de brecha de datos, los clientes de Melijoe podrían verse expuestos a complejas campañas de phishing, ingeniería social y variantes de robo de identidad y fraude electrónico. Aunque la compañía no se ha pronunciado al respecto, es fundamental que protejan a sus clientes contra las potenciales amenazas de seguridad derivadas de este incidente.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
