Tydzień bez wycieku tygodniem straconym- Estée Lauder

Estée Lauder ujawniła 440 milionów rekordów w bazie danych, która pozostała dostępna bez odpowiedniej ochrony dla wszystkich korzystających z Internetu. Estée Lauder ma siedzibę w Nowym Jorku w sercu Manhattanu w Polsce w sercu Warszawskiego Mordoru. Sprzedaje produkty kosmetyczne w ponad 135 krajach. Jest właścicielem wielu marek o międzynarodowej renomie. Założona została w 1946 roku.

Natomiast w 2020 roku 400 336 852 rekordów zostało przypadkowo udostępnionych w Internecie, w tym dane zawierające dużą liczbę adresów e-mail w każdym dokumencie. Udostępnioną dla wszystkich bazę danych odkrył 30 stycznia Jeremiasz Fowler, który próbował skontaktować się z Estée Lauder natychmiast po zidentyfikowaniu adresów e-mail użytkowników w bazie danych. Według Fowlera ujawnione dane zawierały adresy e-mail użytkowników w postaci zwykłego tekstu oraz wewnętrzne adresy e-mail z domeny estee.com. Dodatkowo były logi produkcji, audytu, błędów, CMS i oprogramowania pośredniego, które były szeroko dostępne dla każdego, kto ma połączenie z Internetem. W bazie danych znaleziono również odniesienia do raportów i innych dokumentów wewnętrznych. Ujawniono również szczegóły, takie jak adresy IP, porty, ścieżki i szczegóły przechowywania, potencjalnie zapewniając cyberprzestępcom głębszy dostęp do sieci firmy.

Fowler, który twierdzi, że baza danych została już zabezpieczona przed dalszym badaniem, uważa, że nie udostępniono danych dotyczące płatności ani poufnych informacji pracowników.

Badacz nie był w stanie ustalić liczby adresów e-mail użytkowników ujawnionych w bazie danych i czasu, przez jaki dane były widoczne w Internecie. Nie jest również jasne, kto i w jaki sposób udostępnił dane.

Popularne

Nowa luka w Microsoft Teams – lepiej nie być zapraszanym…

Usługa Microsoft Teams stała się kluczowym narzędziem do komunikacji i współpracy w firmach na całym świecie. Z tego powodu wiele organizacji polega na zabezpieczeniach takich jak Microsoft Defender for Off...

4 min czytania 3 gru 2025 04:09

Ważna zmiana w OWASP Top 10

OWASP, czyli Open Worldwide Application Security Project, zaproponowało nowe wydanie swojej klasycznej listy Top 10 ryzyk aplikacyjnych. Wersja z 2025 roku wprowadza kluczowe rozszerzenia dotyczące b...

5 min czytania 1 gru 2025 08:00

Jak modele LLM automatyzują cyberprzestępczość

Każdy Czytelnik Kapitana Hacka wie, że złośliwe LLM-y ułatwiają mniej doświadczonym cyberprzestępcom przeprowadzanie ataków. Potwierdzają to badacze z Palo Alto Networks, którzy przeanalizowali dwa niedaw...

4 min czytania 2 gru 2025 08:00

Wizualizacja ścieżek ataku na Active Directory za pomocą narzędzia BloodHound

Krótko o narzędziu Bloodhound to narzędzie służące do wizualizacji i analizy powiązań w Active Directory. Dla atakującego jest niezastąpioną pomocą do znajdowania ścieżki ataku na najbardziej c...

4 min czytania 22 gru 2018 09:00

Jak błąd w 7-Zip (CVE-2025-11001) daje hakerom dostęp do systemu Windows. Jest exploit

Odkryto niezwykle niebezpieczną dla użytkowników systemów Windows podatność. Błąd o numerze CVE‑2025‑11001 jest już częściowo wykorzystywany, a dotyczy popularnego programu 7-Zip. Polega na niewłaściwe...

4 min czytania 21 lis 2025 08:11