Wyciek danych BrandBQ

imiona i nazwiska

numery telefonów

adresy e-mail

daty urodzenia

adresy zamieszkania

płeć

wyszukania produktów

zapisy płatności (bez danych kart)

Dane zabezpieczono - z opóźnieniem

O wielkim wycieku bazy danych należącej do polskiej firmy z branży odzieżowej donoszą eksperci z vpnMentor. Mowa o BrandBQ, która pod swoimi skrzydłami ma między innymi multibrandowy sklep internetowy Answear. W sieci znaleziono ponad 1 terabajt (!) niezabezpieczonych informacji, wśród których były szczegółowe informacje dotyczące klientów sklepów.Eksperci z vpnMentor na swoim blogu informują, że paczka wrażliwych danych została odkryta 28 czerwca bieżącego roku na niezaszyfrowanym serwerze Elasticsearch. Wpisy w bazie zawierały nazwy co najmniej dwóch firm będących własnością BrandBQ - Wear Medicine oraz Answear. Serwer zlokalizowany był w Polsce. Przedstawiciele vpnMentor skontaktowali się niezwłocznie z Answear i Wear Medicine, celem przedstawienia swojego znaleziska.W bazie znaleziono ponad miliard wpisów, zawierających do 6,7 miliona rekordów powiązanych z użytkownikami stron internetowych należących do marek BrandBQ. Większość wpisów zawierała logi aktywności prezentujące działania konsumentów na witrynach - subskrypcje newsletterów, zakupy, wyrażone zgody i podobne. Nowe logi umieszczane były na serwerze co godzinę przez cały lipiec 2020 roku.Każdy z wpisów zawierał dane pozwalające zidentyfikować kilka milionów osób. Wśród danych znajdowały się:Jak zapewne się domyślacie, dane takie są niezwykle cenne dla cyberprzestępców.Co ciekawe, baza danych zawierała ok. 50 000 wpisów dotyczących współpracowników BrandBQ z różnych krajów na świecie. To nie wszystko. Pomiędzy informacjami znaleziono logi z aplikacji mobilnej Answear dla iOS i Androida, wśród których figurowały opisy działań dokonywanych przez ich użytkowników. Z apki na Androida korzysta ponad 500 000 osób, których dane mogły zostać skradzione.Baza danych BrandBQ zawierała też informacje techniczne na temat struktury i zabezpieczeń. W 49 milionach wpisów można były wyczytać m.in. szczegóły na temat tego jak strony internetowe korzystające z bazy radzą sobie z błędami systemowi.Wszystkie dane naraziły klientów marek BrandBQ na ryzyko zostania ofiarami kradzieży tożsamości, wyłudzeń, phishingu, malware i innego rodzaju ataków.Firma BrandBQ dopiero 20 sierpnia postanowiła zabezpieczyć informacje swoich klientów.Źródło: vpnMentor