No sólo las grandes compañías de tecnología, servicios empresariales u organizaciones gubernamentales son afectadas por las actividades de los hackers. En esta ocasión, especialistas en seguridad de aplicaciones web reportan una brecha de datos en un servicio de terceros que ha derivado en la filtración de los datos de millones de clientes de la importante compañía de cosméticos francesa Yves Rocher.
El incidente ocurrió debido a la deficiente configuración de una base de datos de la compañía Aliznet, especializada en la transformación digital y que, además de Yves Rocher, trabaja para otras grandes compañías, como Lacoste.
Un grupo de expertos en seguridad de aplicaciones web de la firma vpnMentor logró acceder a una de las bases de datos confidenciales de la compañía, donde se almacenaban los registros de alrededor de 2.5 millones de clientes de Yves Rocher en Canadá. Entre los datos expuestos durante el incidente se encuentran:
- Nombres completos
- Números de teléfono
- Direcciones email
- Fechas de nacimiento
Además de estos datos personales, los investigadores accedieron a los registros de más de seis millones de clientes de la compañía, incluyendo monto de los pedidos, divisa utilizada para el pago, fechas de entrega y ubicación de la tienda a la que se realizaron las órdenes.
Por si no fuera suficiente, los expertos en seguridad de aplicaciones web descubrieron que cada pedido está vinculado a una clave única de identificación de clientes. “Al comparar los registros de los clientes de la compañía con las órdenes de compra fue posible identificar qué usuarios realizaron cada pedido”, agregaron los expertos.
La filtración de datos no sólo expuso información de los clientes de la compañía. En su informe, los expertos mencionan que la base de datos también almacenaba datos sobre las operaciones de Yves Rocher, incluyendo algunas métricas sobre el tráfico de usuarios en algunas sucursales, volúmenes de ventas y pedidos, detalles sobre algunos productos, datos sobre materia prima y códigos de descuentos.
Acorde a especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS), la filtración de información sobre las operaciones internas de la compañía podría ser de gran interés para algunos de sus competidores, por lo que la exposición de esta base de datos es un asunto realmente inconveniente para todos los implicados. “Si otras compañías accedieran a esta información tendrían los recursos necesarios para desplegar campañas de marketing específicamente diseñadas para los clientes de Yves Rocher, dejando a la compañía en riesgo de perder una parte importante de sus clientes a nivel mundial”, agregan los expertos.
Esta no es la primera ocasión en la que una compañía de cosméticos sufre un incidente similar. Hace algunas semanas, miles de clientes de la compañía francesa Sephora comenzaron a recibir una notificación de la empresa, informando que se filtró una gran cantidad de información de una de las bases de datos de la compañía. Sephora solicitó a los clientes restablecer sus contraseñas, además de ofrecer servicios de monitoreo de información para prevenir un uso malicioso de los datos filtrados.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
