鞋类巨头Ecco在500天内泄露超60GB敏感数据
12月22日消息,Cybernews研究人员发现全球鞋类制造商和零售商Ecco,在500天内暴露了数百万份敏感文件,共计60GB。
Ecco是一家丹麦鞋类制造商和零售商,在全球拥有数千家店铺和销售点。研究人员表示,不仅任何人都可能修改数据,而且服务器的配置错误很可能会使公司遭受攻击,从而波及世界各地的客户。
据了解,Ecco从销售数据到系统信息的数百万份敏感文档都处于可在线访问状态,任何有权限的人都可以查看、编辑、复制、窃取或删除数据。
Cybernews研究员就此联系了Ecco但未收到回复。但截至发稿,Ecco似乎已经解决了这个问题。
研究员称发现一个公开实例,它为Ecco托管了Kibana,Kibana是一个ElasticSearch可视化仪表板。Kibana允许处理ElasticSearch上的信息,ElasticSearch是企业处理大量数据时使用的存储设施。
尽管托管仪表板受超文本传输协议(HTTP)认证保护,但服务器配置错误导致所有应用程序接口(API)请求被允许通过。
研究员通过错误配置的认证在Ecco的ElasticSearch上查找索引名称,查找出50个暴露的索引,有超过60GB的数据。
研究员称,历史数据表明,自2021年6月4日以来,被暴露的数据库至少有506天是可以访问的。威胁行为者可能通过修改代码、命名和url进行网络钓鱼,或者让受害者在浏览器和设备上安装勒索软件加载程序或远程访问工具,进行远程攻击。
Cybernews研究人员指出,企业应该提高审查安全策略和访问的频率,确保没有不一致的地方,特别是在每次代码推送到实时环境之后。
参考链接:
https://cybernews.com/security/ecco-leaks-sensitive-data-for-months/
相关文章
- 数据孤岛是业务效率的无声杀手
- 2023展望:新的一年将给大数据分析领域带来什么?
- 阿里云ADB基于Hudi构建Lakehouse的实践
- 大数据在医疗保健领域的使用案例
- 微软增加说明:KB5021751 更新扫描已经 / 即将过时 Office 过程中不会触碰用户隐私
- 2022 Gartner全球云数据库管理系统魔力象限发布 腾讯云数据库入选
- 场景化、重实操,分享一个实时数仓实践案例
- Arctic的湖仓一体践行之路
- 分布式计算MapReduce究竟是怎么一回事?
- 淘系数据模型治理优秀实践
- 大数据分析对医疗保健的影响
- 当我们说大数据Hadoop,究竟在说什么?
- 2022年及以后大数据的五个发展趋势
- 网易严选离线数仓治理实践
- 2023 年数据治理趋势
- 一份“靠谱”的年度经营计划,你学会了吗?
- 漫谈对大数据的思考
- 测试一下,读懂数据的能力,你有吗?
- 用艺术的眼光探索数据之美
- 聊聊数据分析成果如何落地