美国化妆品牌公司 Tarte 因数据库无密码保护，近 200 万客户信息在线泄露

10 月 25 日消息，网络安全公司 Kromtech 研究人员 Bob Diachenko 近期发现美国最受欢迎的化妆品公司 Tarte 因两台 MongoDB 数据库未设置加密权限，导致近 200 万用户信息在线泄露且被黑客组织 Cru3lty 的访问，其中包括客户姓名、地址、电子邮件、购买历史以及信用卡号码的最后四位数字。

知情人士透露，Kromtech 于 10 月 18 日发现此次数据泄露后立即向 Tarte 发出安全警报，虽然公司并未做出回应，但与该公司挂钩的所有数据库均在事件曝光后设置了访问权限。Diachenko 表示，他并不是唯一一个发现该公司数据泄露的人。经调查显示，黑客组织 Cru3lty 于早期就已访问该公司数据库信息并对其进行删除与加密操作。据悉，该组织还在公司数据库中留下了一封勒索赎金信函，要求公司支付比特币后才能对其进行恢复。目前，尚不清楚 Tarte 是否已经与 Cru3lty 取得联系并缴纳赎金，也不了解该数据库在线暴露时长。不过，公司发表声明：

“保障客户信息安全是我们的首要任务。现今，我们已经意识到事态发展的严峻程度，且正与执法部门取得合作。与此同时，我们还采取了安全措施，以确保公司数据得到最高保护。另外，公司也已通知受损客户与其合作伙伴增强防御体系。”

研究人员表示，不管是大公司还是小企业，一旦客户数据系统遭黑客入侵，其部分数据的泄露，或将导致犯罪分子可以交叉引用这些数据进行其他入侵，以获取客户完整卡号或更多信息。此外，如果受害者没有数据备份或安全防御措施，就可能对其造成极大损失。

来源：HackerNews

本文版权归原作者所有，如有侵权请联系我们及时删除