Af Eskil Sørensen, 29/09/20
Et polsk forhandler af modetøj er kommet på forsiden af et it-skkerhedsmedie, efter at personlige data fra millioner af kunder er blevet eksponeret. Årsagen: En forkert konfigureret cloud database.
Det skriver Inforsecurity Magazine, der har historien fra virksomheden vpnMentor, der har opdaget datalækket.
Forhandleren BrandBQ driver online og fysiske butikker over det meste af Østeuropa, herunder Polen, Rumænien, Ungarn, Bulgarien, Slovakiet, Ukraine og Tjekkiet. Dens vigtigste mærker er Answear og WearMedicine.com.
Ifølge det oplyste er 6,7 millioner dataposter af de i alt 1 mia eksponerede poster knyttet til kunder, som har fået udstillet identificerbare oplysninger som deres fulde navn, e-mail og postadresser, fødselsdatoer, telefonnumre og betalingsoplysninger.
Der er med andre ord basis for en anmeldelse for brud på GDPR-reglerne.
Hvad kan dataene bruges til?
De eksponerede data kan forsyne cyberkriminelle med al relevant information til nemt at kunne gennemføre en phishing-kampagne eller lave identitetstyveri. For virksomheden BrandBQ er der også risiko for, at de 700 medarbejdere bliver udsat for sociale engineering-forsøg, hvor de får tilsendt en email med link, der blot skal klikkes på for at virksomhedens netværk bliver inficeret.
BrandBQ har ifølge Infosecurity Magazine over 700 ansatte.
Links:
https://www.vpnmentor.com/blog/report-answear-leak/
https://www.hackread.com/fashion-retailer-brandbq-expose-customers-data/
https://www.infosecurity-magazine.com/news/fashion-retailer-brandbq-seven/