Wyciek ponad miliona rekordów z chmury Amazona

Klaudia Ciesielska
3 min

Zakup złotych kolczyków czy diamentowego naszyjnika może znacznie uszczuplić budżet. I nie ma w tym nic dziwnego. Jednak mało kto się spodziewa, że przy tego typu transakcjach można ponieść dodatkowe koszty.

Klienci amerykańskiej firmy jubilerskiej Limoges Jewelry nie kryli zdziwienia, kiedy dowiedzieli się, że ich wrażliwe dane są dostępne w przestrzeni publicznej. Źle zabezpieczony serwer Amazon Web Services S3 sprawił, że hakerzy otrzymali na tacy 1,3 mln rekordów zawierających nazwiska, adresy, kody pocztowe, numery telefonów, a także hasła tekstowe.

Według badaczy bezpieczeństwa z Kromtech, którzy wykryli tę anomalię, baza danych należy do MBM Company, firmy jubilerskiej firmującej swoje produkty pod marką Limoges Jewelry. Ich zdaniem informacje mogły być dostępne publicznie od 13 stycznia 2018 roku. Jeśli eksperci do bezpieczeństwa wpadli na ten trop, istnieje więcej niż duże prawdopodobieństwo, że dotarli do nich również hakerzy.

REKLAMA

Na osobną uwagę zasługuje reakcja mediów informujących o całym zdarzeniu.

„ Firma jubilerska, będąca partnerem Walmarta, udostępnia dane miliona klientów”

„ Firma jubilerska, będąca partnerem Walmarta, udostępnia dane 1,3 mln. klientów”

„Partner Walmarta udostępnił dane osobowe 1,3 mln. klientów robiących zakupy w Stanach Zjednoczonych i Kanadzie”.

Jak można łatwo zauważyć w każdym z wymienionych tytułów pojawia się sieć handlowa Walmart. Tymczasem nie ma ona nic wspólnego z wyciekiem informacji, wszak głównym winowajcą jest Limoges Jewelry lub jeśli ktoś woli MBM Company. Swojego rodzaju ciekawostką jest fakt, iż biżuteria tej firmy nie jest sprzedawana wyłącznie poprzez sieć Walmart. Na liście partnerów feralnej firmy znajdują się również Amazon, Sears, Kmart, Target i wiele sklepów internetowych. Co więcej, udostępniona baza danych zawiera informacje dotyczące innych detalistów oprócz Walmarta.

Wiele osób zapewne nie słyszało o Limoges Jewelry, zaś Walmart jest marką, którą zna każdy Amerykanin. Nie bez przyczyny często piszą o niej miejscowi dziennikarze. Afera związana z wyciekiem danych negatywnie wpłynęła na reputację Walmartu.

Firma prowadzi interesy z wieloma partnerami i dostawcami, mając z reguły niewielki wgląd w sposób jaki zabezpieczają powierzone im dane. Powyższa historia pokazuje, że należy upewnić się czy kontrahenci potrafią chronić wrażliwe zasoby cyfrowe przed cyberatakami. Kontrola może przybierać różne formy. Partnerzy wypełniają raport oceny bezpieczeństwa lub podpisują umowę określającą zabezpieczenia i praktyki zabezpieczenia informacji, a także gwarancje oraz wysokość ewentualnego odszkodowania – tłumaczy Mariusz Politowicz certyfikowany inżynier rozwiązań w firmie Bitdefender w Polsce.

Takie standardy są niezbędnie nie tylko po to, aby zapobiec wyciekom wrażliwych danych klientów, ale także ograniczać do minimum cyberataki.

Na koniec dobra i zła wiadomość dla klientów Limoges Jewelry. Wprawdzie wycieku danych nie uda się cofnąć, niemniej zniknęły one z przestrzeni publicznej. Nie ma też ewidentnych dowodów, że w ich posiadanie weszły osoby trzecie. Niestety, MBM Company nadal niefrasobliwie podchodzi do tematu ochrony danych w żaden sposób nie reagując na uwagi udzielane przez analityków zajmujących się  bezpieczeństwem.