Ошибка в конфигурировании сервера Office Depot Europe могла привести к утечке почти миллиона записей клиентов канцелярского ритейлера

Из-за неправильно сконфигурированного сервера Elasticsearch, принадлежащего популярной сети магазинов канцелярских товаров Office Depot, велика вероятность допущенной утечки порядка миллиона записей, включая личную информацию клиентов.
 
База данных, не защищенная паролем, была обнаружена командой Website Planet. Специалисты быстро выяснили, что она принадлежит Office Depot Europe, которая работает по всей Европе с физическими и онлайн-магазинами под брендами Office Depot и Viking.

Среди 974 000 незашифрованных записей, найденных в незащищенной базе данных, были:

• имена клиентов;
• номера телефонов;
• домашние и офисные адреса;
• адреса электронной почты;
• истории заказов;
• хэшированные пароли.

Эти данные могли быть использованы киберпреступниками для проведения фишинговых атак по такому сценарию:
- позвонить клиенту от имени Office Depot Europe, якобы для подтверждения ранее сделанного заказа;
- затем сообщить о сбое в информационной системе;
- попросить вновь продублировать номер банковской карты, использованной для оплаты покупки.

У клиента подобный телефонный звонок не вызывает сомнений, поскольку его абонент оперирует реальными данными и деталями, которые знает только продавец Office Depot Europe. Именно так и работает атака, построенная на социальной инженерии, являющаяся одной из самых распространенных форм мошенничества в последнее время.

Office Depot Europe обеспечил безопасность своей базы данных в течение нескольких часов после уведомления, однако, практически нет сомнений, что неправильно сконфигурированный сервер подвергался воздействию злоумышленников не менее 10 дней.

Это сделало клиентов Office Depot Europe уязвимыми не только для мошенников, охотящихся за конфиденциальными и банковскими данными, но и от автоматизированных сценариев вымогателей, поскольку могла быть допущена утечка информации о промежуточном программном обеспечении, IP-адресах, портах, путях и системах хранения данных, как клиентов, так и канцелярского ритейлера.