Amazon Web Services Fehlkonfiguration enttarnt eine halbe Million Kosmetikkunden

Cyber Security News

Hunderttausende von Einzelhandelskunden hatten ihre persönlichen Daten dank eines falsch konfigurierten Cloud-Speicher-Kontos preisgegeben, hat Infosecurity erfahren.

Ein Forschungsteam der Bewertungsseite WizCase verfolgte den undichten Amazon S3-Bucket zu der beliebten türkischen Firma für Schönheitsprodukte Cosmolog Kozmetik.

Das 20 GB große Leck enthielt rund 9500 Dateien, darunter Tausende von Excel-Dateien, die die persönlichen Daten von 567.000 Nutzern enthüllten, die über mehrere E-Commerce-Plattformen Artikel bei diesem Anbieter gekauft hatten.

Obwohl das Forschungsteam keine Zahlungsinformationen entdeckte, fanden sie unter den durchgesickerten Bestellungen die vollständigen Namen, physischen Adressen und Kaufdetails der Kunden. In einigen Fällen wurden auch Telefonnummern und E-Mail-Adressen offengelegt.

Die ältesten Bestellungen stammten aus dem Jahr 2019 und reichten bis zum heutigen Tag. Dies zeigt, dass die Datenbank ständig aktualisiert wird.

WizCase warnte, dass viele derjenigen, deren Details ausgesetzt waren, sich des Lecks nicht bewusst sein könnten, da Benutzer von E-Commerce-Marktplätzen die Namen der Verkäufer oft nicht überprüfen.

Cosmolog Kozmetik, die auch unter dem Namen “Marketlog” verkauft, ist häufig auf großen türkischen E-Commerce-Plattformen Trendyol, Hepsiburada und Unishop zu finden.

WizCase warnte, dass, wenn es Bedrohungsakteuren gelingt, die exponierten Daten zu finden und zu kopieren, diese Käufer dem Risiko von Folge-Phishing und Betrug, einschließlich Rückerstattungsbetrug, ausgesetzt sein könnten. Sie könnten sogar Opfer eines physischen Diebstahls von Paketen werden, wenn Angreifer Sendungen verfolgen und stehlen, wenn sie bei den Kunden zu Hause ankommen, fügte es hinzu.

“Cyber-Kriminelle entwickeln immer neue Methoden, um jeden auszunutzen, der im Internet verwundbar ist”, warnte WizCase in einem Blog-Posting, das den Datenschutz-Schlamassel beschreibt.

“Für die Zukunft empfehlen wir, immer nur das absolute Minimum an Informationen einzugeben, wenn Sie einen Kauf tätigen oder ein Konto im Internet einrichten. Je weniger Informationen Sie Hackern zur Verfügung stellen, desto weniger anfällig sind Sie für Angriffe.”

Obwohl WizCase das türkische CERT, Amazon und Cosmolog Kozmetik über die Sicherheitslücke kontaktiert hat, hat zum Zeitpunkt der Erstellung dieses Artikels noch niemand geantwortet.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com