Магазин мужской одежды Bonobos подвергся серьезной утечке данных, в результате чего была раскрыта личная информация миллионов клиентов после того, как злоумышленник загрузил облачную резервную копию их базы данных. Бонобос заявляет, что корпоративные системы не были взломаны во время атаки..
Bonobos начинал как интернет-магазин мужской одежды, но позже расширился до шестидесяти мест, где можно было примерить одежду перед покупкой. Walmart купил Bonobos в 2017 году за 300 миллионов, чтобы продавать свою одежду на своем сайте Jet.com..
В минувшие выходные злоумышленник, известный как ShinyHunters, известный взломом онлайн-сервисов и продажей украденных баз данных, разместил полную базу данных Бонобо на бесплатном хакерском форуме..
Содержание
Утечка огромной базы данных объемом 70 ГБ
Эта просочившаяся база данных представляет собой огромный SQL-файл объемом 70 ГБ, содержащий различные внутренние таблицы, используемые веб-сайтом Bonobos. База данных также включает различные данные, гораздо более интересные для злоумышленников, такие как адреса клиентов, номера телефонов, частичные номера кредитных карт (последние четыре цифры), информацию о заказах, истории паролей..
Количество записей зависит от категории данных. Например, адрес и номера телефонов предназначены для 7 миллионов клиентов / заказов, информация об учетной записи для 1,8 миллиона зарегистрированных клиентов и 3,5 миллиона частичных записей кредитной карты..
Пароли, хранящиеся в базе данных, хешируются с использованием SHA-256 или SHA-512 в зависимости от злоумышленников, которые начали анализ базы данных. Один злоумышленник утверждает, что уже взломал пароли для 158 000 паролей SHA-256, но не смог взломать пароли SHA-512..
Хакер превратил взломанные пароли в «комболист», используемый в атаках по заполнению учетных данных, то есть для входа в систему с использованием украденных учетных данных на других сайтах..
База данных резервного копирования была украдена из облака
После того, как BleepingComputer связался с Бонобосом по поводу утечки базы данных, магазин одежды сообщил нам, что злоумышленники получили доступ не к внутренним системам, а к файлу резервной копии, размещенному во внешней облачной среде..
«Мы очень серьезно относимся к защите данных наших клиентов. Мы продолжаем расследование этого вопроса и пока не обнаружили никаких доказательств того, что неавторизованные стороны получали доступ к внутренней системе Bonobos. Мы обнаружили, что неавторизованная третья сторона была возможность просматривать файл резервной копии, размещенный во внешней облачной среде. Мы связались с провайдером хоста, чтобы решить эту проблему, как только нам стало известно о ней ».
«Кроме того, мы предприняли дополнительные меры предосторожности, включая отключение точек доступа, аннулирование паролей учетных записей и требование сброса паролей, чтобы еще больше защитить учетные записи клиентов. Мы отправляем клиентам электронное письмо с уведомлением о том, что их контактная информация и зашифрованные пароли могли быть просмотрены неавторизованной третьей стороной. Эта проблема не повлияла на платежную информацию. Мы будем продолжать делиться с клиентами обновлениями по мере их появления «, — сказал Бонобос BleepingComputer по электронной почте..
Хотя база данных не включала в себя полную информацию о платежах, злоумышленники могут использовать частичные данные в целевых фишинговых атаках..
Что должны делать пользователи Бонобо?
Поскольку это подтвержденная утечка данных, настоятельно рекомендуется всем пользователям Bonobos немедленно изменить свой пароль на сайте..
Если тот же пароль использовался на других сайтах, измените свой пароль на уникальный и там..
Использование уникальных паролей на каждом сайте, на котором у вас есть учетная запись, предотвращает нарушение данных на одном сайте, которое может повлиять на вас на других сайтах, которые вы используете..
BleepingComputer рекомендует использовать менеджер паролей для отслеживания надежных и уникальных паролей для сайтов, у которых есть учетные записи..
Наконец, все клиенты Bonobos должны следить за электронными письмами с просьбой указать данные кредитной карты или данные для входа, так как это может быть целевым фишинговым мошенничеством в результате этой утечки данных..
Обновление от 22.01.21: В нашей истории изначально упоминалось, что база данных содержала виртуальные подарочные карты. Бонобо сказал нам, что эти данные являются кредитом магазина и не могут быть погашены в качестве тендера..