A falta de segurança do servidor pode ter sido o ponto-chave dos recentes casos de falhas de segurança publicados pela companhia.

No dia 9 de junho, a Avon emitiu um comunicado sobre uma violação cibernética ter interrompido alguns sistemas e afetado parcialmente as operações da empresa. Apesar de ter sido restabelecido a maioria de seus sistemas operacionais, a companhia publicou outro comunicado, dias depois, informando que "as investigações seguem para determinar a extensão do incidente, incluindo possíveis dados pessoais comprometidos".

De acordo com especialistas, o servidor desprotegido Avon.com tinha acesso aos logs de API para sites e dispositivos móveis, expondo todas as informações do servidor de produção, tokens de entrada e logins em sites de terceiros.

Os registros vazados — do banco de dados com mais de 7 GB — contavam com informações pessoais identificáveis e também dados técnicos não pessoais:

• Nomes, números de telefone, data de nascimento e endereço físico;
• Endereços de e-mail, coordenadas GPS, valores do último pagamento;
• Nomes dos funcionários da empresa (não confirmados);
• E-mails de usuário administrador;
• Mais de 40 mil tokens de segurança;
• Tokens OAuth e logs internos;
• Configurações da conta e informações do servidor.

Além disso, também contabilizavam informações confidenciais, como PINs (enviados por SMS) e logs internos. "Os hackers podem aproveitar o servidor para minerar criptomoedas, instalar malware ou realizar ataques de ransomware contra os proprietários do servidor", acrescentaram os pesquisadores.

Fonte