雅诗兰黛因不安全服务器泄露4.4亿条记录

近日，有安全研究人员表示，化妆品公司雅诗兰黛将一个缺乏保护措施的数据库暴露在互联网上，其中存储了4.4亿条记录。
雅诗兰黛总部设在纽约，旗下化妆品销往135多个国家和地区。雅诗兰黛公司拥有多个国际知名品牌。
安全研究人员Jeremiah Fowler于1月30日发现了这个暴露的数据库，他在数据库中的找到了用户电子邮件地址，在确定了来源后，立即试图与雅诗兰黛取得联系。
此次泄露总共涉及440,336,852条记录，其中包含大量的审计日志和电子邮件地址。
Fowler表示，暴露的数据包括以纯文本形式存在的电子邮件地址，来自@estee.com域的内部电子邮件地址也出现在数据库中。
此外，还有大量生产、审计、错误、CMS和中间件日志。只要有互联网连接，任何人都可以访问这些数据。更重要的是，数据库中还发现了对其他内部文件的引用。
IP地址、端口、路径和存储路径等内部网络细节也被公开，这可能潜在为网络罪犯提供了进入公司内部网络的方法。
安全研究人员指出，该数据库包含数百万条雅诗兰黛正在使用的中间件的相关记录。
Fowler解释到，中间件等应用软件通常可提供操作系统所不能提供的服务和功能，例如数据管理、应用服务、消息传递、身份验证和API管理等。
这种暴露所带来的另一个风险是，中间件可能会为攻击者指明攻击路径（了解到内部网络存在哪些数据和应用）。特别是在泄露的数据中明确指出了软件版本，路径，以及其他一切可被攻击者利用的敏感信息。
Fowler最后表示，在他进一步调查之前，数据库就已经被处理了，他相信数据库中没有存储任何支付数据或员工的敏感信息。
研究人员无法确定数据库中暴露的用户电子邮件地址的数量，以及这些数据在互联网上暴露的时间。目前还不清楚这些数据是否被未知第三方获取获取。
SecurityWeek已经联系了雅诗兰黛，希望获得更多有关此事件信息。