Varejista de moda BrandBQ expõe sete milhões de registros de clientes

Um varejista de moda europeu se tornou a mais recente marca de grande nome a expor dados pessoais de milhões de seus clientes após configurar incorretamente um banco de dados em nuvem.

Os pesquisadores da vpnMentor descobriram o servidor Elasticsearch não criptografado em 28 de junho e a controladora BrandBQ finalmente o garantiu cerca de um mês depois, em 20 de agosto.

O varejista com sede em Cracóvia opera lojas online e físicas em toda a Europa Oriental, na: Polônia, Romênia, Hungria, Bulgária, Eslováquia, Ucrânia e República Tcheca. Suas principais marcas são a Reply e WearMedicine.com.

Entre o um bilhão de entradas no banco de dados exposto, 6,7 milhões de registros relacionados a clientes online, com cada entrada apresentando informações de identificação pessoal (PII), incluindo nomes completos, e-mail e endereços residenciais, datas de nascimento, números de telefone e registros de pagamento (embora não seja cartão detalhes).

Outros 50.000 registros relacionados a contratados locais em certas jurisdições incluíam informações adicionais, como números de IVA e informações de compra. O banco de dados também continha registros de chamadas de API do aplicativo móvel da Resposta, expondo PII em 500.000 usuários do aplicativo Android e um número desconhecido que baixou a versão iOS, afirmou o vpnMentor.

Os dados expostos podem ter fornecido aos cibercriminosos uma fonte útil de PII para lançar ataques de phishing convincentes e fraude de identidade, acrescentou.

“A mesma tática poderia ser usada contra os empreiteiros expostos no vazamento e contra o próprio BrandBQ. Uma campanha de phishing bem-sucedida contra uma empresa pode ser absolutamente devastadora e desafiadora de superar ”, explicou a empresa em um blog.

“Além disso, basta um único funcionário, sem nenhuma instrução sobre crimes cibernéticos, clicar em um link em um e-mail que pode infectar toda a rede de uma empresa. Com mais de 700 funcionários, este é um risco real para a BrandBQ.”

Os invasores teoricamente também poderiam ter aproveitado os dados para espionagem corporativa e usado “informações técnicas confidenciais” no banco de dados para sondar vulnerabilidades a serem exploradas.

Fonte: https://www.infosecurity-magazine.com/news/fashion-retailer-brandbq-seven/