Gegevens van half miljoen shoppers op straat door datalek Sephora

sephora billboard

Beveiligingsonderzoekers van VPNGids.nl hebben een groot datalek bij cosmeticagigant Sephora gevonden. Het onderzoeksteam, geleid door Aaron Phillips, kan bevestigen dat er persoonsgegevens van bijna een half miljoen klanten onbeveiligd online stonden. Sephora is een gigantische Franse cosmeticawinkel met veel locaties in de Verenigde Staten, maar poogt ook in Europa én Nederland voet aan de grond te krijgen.

De betrokken gebruikers zijn leden van het Sephora rewards program van voor 2019. We analyseerden het lek en maakten een tijdlijn van de gebeurtenissen.

Welke data lagen er op straat?

Bij het datalek werden de volgende persoonsgegevens gevonden:

  • Kaartnummers die overeenkomen met Sephora Beauty Inside
  • Accountnummers
  • Volledige namen
  • E-mailadressen
  • Telefoonnummers
  • Sephora rewards points

De gegevens kwamen bloot te liggen toen Sephora informatie uit hun database exporteerde en opsloeg op de Amazon-cloud.

Tabel met Sephora-gebruiks persoonsgegevens afgeschermd

Ons team heeft screenshots gemaakt, en een klein stukje van de data die werden ontdekt zie je hierboven. Sephora dichtte het lek na enkele dagen. Zoals je kunt zien was er persoonlijke informatie te vinden in de velden fullname, email, card_numbers, en phone_number.

Gevolgen van het lek

We ontdekten dat er data van zeker 490.000 Sephora-klanten bij het lek betrokken waren. Het gaat om klanten uit Mexico die hun accounts voor 2019 hebben aangemaakt. Gebaseerd op de informatie die we verkregen lijkt het erop dat alle klanten waarvan informatie gelekt is, leden waren van het Sephora rewards program.

Aantal velden persoonsgegevens Sephora hack

De kaartnummers die zijn gelekt lijken overeen te komen met Sephora Beauty Pass-informatie, zoals die van Sephora White-leden. Sephora liet de data onbeveiligd in een cloudopslag staan, die iedereen via het internet kon bereiken.

Gegevens toegankelijk door onbeveiligde AWS S3 bucket

De oorzaak van het lek was een backup-document van een database dat publiek toegankelijk was op het internet. De backup stond op een Amazon Web Services (AWS) bucket van Sephora.

De data waren voor iedereen te bekijken door het type security policy dat het bedrijf voor de bucket had ingesteld. Hierdoor kon in principe iedereen toegang krijgen tot de documenten. Dit bracht enorme risico’s voor klanten met zich mee.

Sephora hack bestanden

Onze veiligheidsonderzoekers denken dat de data per ongeluk onbeschermd online zijn beland na een data-migratie in 2019.

Lek gedicht na melding

Na onze ontdekking maakten we melding bij Sephora. Het bedrijf heeft toen het lek gedicht door de vrije toegang tot de bucket te verwijderen. Het onderzoeksteam heeft de persoonlijke gegevens die naar boven kwamen verwijderd.

Tijdlijn van het lek

Hieronder zie je een tijdlijn van het datalek bij Sephora.

GebeurtenisDatum
Veiligheidsonderzoeker Aaron Phillips ontdekt het lek4 december 2021
Sephora wordt op de hoogte gebracht via [email protected]5 december 2021
Sephora wordt op de hoogte gebracht via [email protected]8 december 2021
Sephora dicht het lek17 december 2021

Sephora neemt deel aan het HackerOne bug bounty-programma. Het programma accepteert alleen bugs die effect hebben op het sephora.com domein. Dit lek viel hierdoor niet onder het bug bounty-programma omdat het om een extern domein ging.

Update Juni 2022: het bovengenoemde bug bounty-programma van Sephora is momenteel niet meer bereikbaar.

Niet het eerste cybersecurity-incident bij Sephora

Dit was niet de eerste keer dat persoonsgegevens van Sephora-klanten online in te zien waren. Op 30 juli 2019 was er een vergelijkbaar lek van persoonsgegevens bij de beauty-gigant. Toen kregen klanten van Sephora in Maleisië, Singapore, Indonesië, Thailand, de Filipijnen, Nieuw-Zeeland en Australië te maken met de risico’s van een datalek.

Toendertijd bracht Sephora de Personal Data Protection Commission (PDPC) op de hoogte van het probleem. Daarnaast riep het bedrijf direct de hulp in van een gerenommeerd cybersecuritybedrijf. Dit resulteerde erin dat alle bestaande klantwachtwoorden zo snel mogelijk werden gereset en de kwetsbaarheden werden gedicht. Sindsdien heeft Sephora ook een gratis klantdata monitoring service voor betrokken klanten.

Volgens de officiële brief van Sephora aan hun klanten waren er geen tekenen dat de gecompromitteerde informatie zou zijn misbruikt door kwaadwillenden.

Toch is het belangrijk je te realiseren dat cybercriminelen altijd op zoek zijn naar persoonsgegevens en getraind zijn in het ontwijken van ontdekking. Het is daarom moeilijk te zeggen of er misbruik is gemaakt van de gelekte informatie. Zo kan het zijn dat slachtoffers oplichting niet aan het datalek hebben gelinkt of dat de informatie in de toekomst nog wordt misbruikt middels bijvoorbeeld phishing of identiteitsfraude.

Amazon Web Services kwetsbaar voor verkeerde configuratie

Dit is niet de eerste keer dat klanten van Amazon last hebben van ‘leaky buckets’. Eerder bleven bijvoorbeeld miljoenen Facebook-gegevens rondslingeren in een publiekelijk toegankelijke bucket. Daarnaast was er recent een enorme inbreuk bij SEGA Europe als gevolg van een verkeerd geconfigureerde Amazon Bucket. Hoe kan het dat de S3-buckets van Amazon zo vaak tot een lek leiden?

S3-buckets lijken op een map op je computer. Deze mappen bevinden zich in de Amazon-cloud, die door veel bedrijven gebruikt wordt om gegevens wereldwijd toegankelijk te maken. S3-buckets zijn niet onveilig van zichzelf maar het is wel belangrijk dat het toegangsbeleid goed is ingesteld om de gegevens te beschermen.

Als het beveiligingsbeleid van de buckets niet goed geconfigureerd is kan het zijn dat privégegevens bloot komen te liggen. Amazon waarschuwt daarom hun klanten ook om niet een onnodig breed toegangsbeleid te voeren.

Toch zijn er ook genoeg redenen waarom een klant een bucket publiekelijk toegankelijk zou maken, bijvoorbeeld om afbeeldingen voor een website te hosten. Het gaat mis wanneer bedrijven persoonlijke informatie op openbare buckets zetten. Dit lijkt ook het geval te zijn geweest bij Sephora.

Het belang van cybersecurity in 2022

De afgelopen jaren hebben we een ongekende toename gezien van geavanceerde cyberaanvallen met catastrofale gevolgen, niet alleen voor individuele organisaties maar voor het internet in het algemeen. Enkele recente voorbeelden uit 2020 en 2021 zijn de SolarWinds-hack en het Log4Shell-incident.

Cyberbeveiligingsbedrijven weten dat strikte beveiligingsmaatregelen prioriteit nummer één zijn voor elke organisatie. Vooral vanwege de hoeveelheid gevoelige gegevens die online wordt bewaard en gedeeld. Bedrijven moeten beschikken over kennis van interne en externe risico’s. Deze Sephora-zaak bewijst dat elk bedrijf in elke branche zijn gegevens in gevaar kan brengen vanwege tekortkomingen op het gebied van cyberbeveiliging.

VPNOverview.com-beveiligingsonderzoeker Aaron Phillips merkte op: “Ik denk dat deze Sephora-inbreuk echt aantoont dat deze informatielekken iedereen kunnen treffen en uiteindelijk kunnen leiden tot identiteitsdiefstal. Elk bedrijf moet zijn standaarden verhogen en de best practices volgen wanneer ze omgaan met klantgegevens. Te veel slechteriken verdienen geld met het kopen en verkopen van informatie die in de cloud is blijven rondslingeren.”

Techredacteur
Tove is al een aantal jaar actief bij VPNgids als techredacteur. Haar doel is om belangrijke informatie over veilig internetten en privacy voor iedereen beschikbaar en begrijpelijk te maken. Mensen kunnen zich beter wapenen tegen cybercriminaliteit en internetcensuur wanneer ze weten waar het over gaat. Meer over Tove.
Plaats een reactie
Een reactie plaatsen