AVONが1900万件のレコードを漏えい

世界的な美容会社であるエイボン社の顧客データおよび技術ログなど、1900万件のレコードがAzureサーバーに発見されたと報じられていました。

公式発表

なし　（一覧）

キタきつねの所感

いわゆるクラウドの設定ミスの可能性を感じますが、SafetyDetectives社（セキュリティ調査会社）がAzureサーバー上にパスワード保護や暗号化がされてない７GBのデータベースを見つけた様です。

このデータベースは、サーバーのIPアドレスを所持している人なら誰でもアクセスできたとレポートされており、氏名、電話番号、電子メール、自宅住所等の顧客および従業員の個人情報の他、4万以上のトークン、内部ログ、アカウント設定、技術情報等も含まれていたとされます。

普通に考えれば、AVON側のミス、すなわち一昨年位に頻発していたクラウド設定ミス（意図しない公開設定）だったと考えるべきなのですが、世界的な大企業がそれ程のミスを犯すのか？という疑問もあります。

もう1点、AVON社は6月9日にサイバー攻撃を受けたと米国証券取引委員会（SEC）に報告しており、この攻撃の影響があったという見方をしている海外の専門家が多い様です。

参考：SEC文書によると、エイボン・イットのネットワークの一部は先週からダウン

www.zdnet.com

同社によると、この事件は「一部のシステムを妨害し、運用に一部影響を及ぼした」という。
先週、エイボンのディストリビューターは会社のバックエンドへのアクセスに問題があると報告しました。
（中略）
ブラジルの多国籍企業 Natura＆Coが所有するエイボンは、事件の詳細を両方の販売業者と報道関係者に提供することを拒否しました。エイボンの広報担当者は、過去2日間に何度も試みたにもかかわらず、コメントを得るために連絡することができませんでした。

サイバー攻撃の性質に関する詳細はまだ謎ですが、先週木曜日に6月12日にSECに提出された2番目の文書で、エイボンは今週、「影響を受ける市場で影響を受けるシステムの一部」を復元すると約束しました。

（ZDnet記事より引用）※機械翻訳

6月初旬に謎のサイバー攻撃を受けて、何か国もの内部ネットワークのアクセスに影響を与えた様ですが、AVONは公式には何も発表していません。

ポーランドのセキュリティ監査／ペンテスト会社は、6月の事件はランサム被害であるとTwitter上でコメントしています。AVONが沈黙しているので真偽のほどは不明ですが、DoppelPaymerランサムだったのではないかと推測しています。

Nowe informacje:

Potwierdziliśmy (nieoficjalnie, bo oficjalnie wciąż brak kontaktu) że to jest niestety ransomware (DoppelPaymer)

Dobra wiadomość jest taka, że na stronie przestępców nie ma (jeszcze?) paczki z wykradzionymi firmie AVON danymi. Co to oznacza? O tym w artykule: https://t.co/K51iYiGktB
— Niebezpiecznik (@niebezpiecznik) June 16, 2020

Naked securityの6月の記事では、このDoppelPaymerの特徴について以下の様に説明しています。

以前にDoppelPaymerという名前を聞いたことがあるかもしれませんが、MazeやRevil を含む他の数多くのランサムウェアギャングと同様に、この背後の詐欺師はデータをスクランブルするだけでなく、最初にそのコピーを盗みます。

それは彼らにお金のためにあなたを襲う二重の理由を与えます：あなたは復号化キー（あなたが最近のバックアップがあれば実際には必要ありません）のために支払うだけでなく、詐欺師が彼らに何について沈黙し続けるためにもです。

脅威は、お金を払わないと、詐欺師が一般の人が見つけられるように選択したデータを公開し、データ侵害があったことを関係当局に警告することです。

(naked security記事より引用）※機械翻訳