Une base de données non protégée contenant 440 millions d'enregistrements appartenant au géant américain des cosmétiques Estée Lauder a été exposée en ligne.
La société a désormais bloqué l'accès à la base de données, qui contenait des adresses e-mail en texte brut appartenant aux utilisateurs d'une plateforme éducative appartenant à l'entreprise.
La découverte a été faite par des chercheurs de Security Discovery, qui disent que la base de données faisait probablement partie d'un CMS ou d'un middleware utilisé par la société et avait en quelque sorte fait son chemin vers Internet.
Sommaire
Middleware
L'équipe de protection de la vie privée d'Estée Lauder enquête sur la violation, qui a vu une base de données non chiffrée entière exposée en ligne sans aucune forme de protection.
Les chercheurs disent que les informations exposées comprennent l'adresse e-mail, les références, les documents internes, les adresses IP, les ports, les chemins d'accès et les informations de stockage, qui pourraient facilement être utilisées par les pirates pour créer une porte dérobée dans le système.
Dans un communiqué, Estée Lauder a déclaré: "le 30 janvier 2020, nous avons été informés qu'un nombre limité d'adresses e-mail de non-consommateurs provenant d'une plateforme éducative étaient temporairement accessibles via Internet".
"Cette plateforme éducative n'était pas destinée aux consommateurs et ne contenait pas de données sur les consommateurs. Nous n'avons trouvé aucune preuve d'une utilisation non autorisée des données temporairement accessibles", a-t-il ajouté.
Une fois le problème signalé, Estée Lauder a agi rapidement et fermé la base de données dans les 24 heures.
Via Forbes
