新闻快讯
< >

美国化妆品公司因数据库无密码保护,导致近200万用户信息被泄

10月25日消息,网络安全公司Kromtech研究人员Bob Diachenko近期发现美国最受欢迎的化妆品公司 Tarte 因两台 MongoDB 数据库未设置加密权限,导致近 200 万用户信息在线泄露且被黑客组织 Cru3lty 的访问,其中包括客户姓名、地址、电子邮件、购买历史以及信用卡号码的最后四位数字。


美国化妆品公司因数据库无密码保护,导致近200万用户信息被泄-E安全


知情人士透露,Kromtech 于 10 月 18 日发现此次数据泄露后立即向 Tarte 发出安全警报,虽然公司并未做出回应,但与该公司挂钩的所有数据库均在事件曝光后设置了访问权限。Diachenko 表示,他并不是唯一一个发现该公司数据泄露的人。经调查显示,黑客组织 Cru3lty 于早期就已访问该公司数据库信息并对其进行删除与加密操作。据悉,该组织还在公司数据库中留下了一封勒索赎金信函,要求公司支付比特币后才能对其进行恢复。目前,尚不清楚 Tarte 是否已经与 Cru3lty 取得联系并缴纳赎金,也不了解该数据库在线暴露时长。不过,公司发表声明:

“保障客户信息安全是我们的首要任务。现今,我们已经意识到事态发展的严峻程度,且正与执法部门取得合作。与此同时,我们还采取了安全措施,以确保公司数据得到最高保护。另外,公司也已通知受损客户与其合作伙伴增强防御体系。”

研究人员表示,不管是大公司还是小企业,一旦客户数据系统遭黑客入侵,其部分数据的泄露,或将导致犯罪分子可以交叉引用这些数据进行其他入侵,以获取客户完整卡号或更多信息。此外,如果受害者没有数据备份或安全防御措施,就可能对其造成极大损失。