Estée Lauder lekt via onbeveiligde database 440 miljoen records
Cosmeticagigant Estée Lauder heeft via een onbeveiligde database 440 miljoen records gelekt. Het ging onder andere om e-mailadressen van "gebruikers", alsmede allerlei bedrijfsinformatie. De database werd ontdekt door onderzoeker Jeremiah Fowler van Security Discovery.
De database, die voor iedereen op internet zonder wachtwoord toegankelijk was, bevatte meer dan 440 miljoen logs en records. Het ging onder andere om rapportages, interne documenten, ip-adressen, poorten en opslaginformatie. Tevens trof Fowler allerlei e-mailadressen van "gebruikers" aan, waaronder ook interne e-mailadressen van Estée Lauder zelf.
De onderzoeker stelt dat hij de records niet verder heeft onderzocht. "Onze topprioriteit was het waarschuwen van Estée Lauder." Het is dan ook onduidelijk hoeveel e-mailadressen in de database stonden en wat voor soort "gebruikers" precies door het datalek zijn getroffen. Na te zijn ingelicht heeft Estée Lauder de database beveiligd.
Klinkt meer als opzichtig falen.
Een omzet van ongeveer 12 miljard dollar per jaar, bijna 50.000 medewerkers, beursnotering aan de NYSE, en dan geen ICT afdeling? Het zou mij verbazen. … Klinkt meer als opzichtig falen.
Nou opzichtig falen, nee. Het eerste wat me opvalt is: "Middleware is software that provides common services and capabilities to applications outside of what’s offered by the operating system. Data management, application services, messaging, authentication, and API management are all commonly handled by middleware."
Het is er als een soort backup neergezet of om met tools daarop aan de slag te gaan. Er is snel gereageerd dus de eigenaar was intern bekend. De zoveelste die met een open database van alles open gelaten heeft.
Het falen zit in de configuratie (software) dat zoiets te snel laat gebeuren en dat zonder extra controle of wat dan ook.
https://www.cio.com/article/3438638/how-estee-lauder-companies-developed-a-culture-to-attract-and-retain-it-talent.html
"The Estée Lauder Companies (ELC) Information Technology (IT) operations are in New York City, where the unemployment rate is low and the competition is high. " als je goed leest zie je de voorkeur voor de management lijn. Het is het gangbare wat in de markt gebeurt.
https://www.forbes.com/sites/peterhigh/2019/02/04/estee-lauders-cio-creates-technology-hub-to-enhance-innovation/#74bef13171c8
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
