Vistaprint使客户服务数据库不受保护从而暴露了呼叫聊天和电子邮件

2019-11-26 19:53:52 来源:

一位安全研究人员在互联网上发现了一个在线印刷巨头Vistaprint的公开数据库。安全研究员奥利弗·霍夫(Oliver Hough)上周发现了未加密的数据库。数据库上没有密码,任何人都可以访问其中的数据。该数据库最早在11月5日被公开的设备和数据库搜索引擎Shodan检测到,但公开时间可能更长。

霍夫(Hough)在推特上发了警告,提醒公司安全漏洞,但没有回音。

Vistaprint由荷兰母公司Cimpress拥有,在TechCrunch伸出手后,悄悄地使数据库脱机,但在截止日期前未发表评论。Vistaprint的发言人罗伯特·克罗斯兰(Robert Crosland)在我们发布公告后说,该次曝光影响了美国,英国和爱尔兰的客户。

该公司表示:“这是不可接受的,在任何情况下都不应发生。”“我们目前正在进行全面调查,以了解发生了什么以及如何防止将来再次发生。目前,我们不知道是否已经找到安全数据的人员以外的人访问了此数据,”发言人说。

该公司表示,将告知客户有关风险-其中许多人受到严格的GDPR数据保护规则的保护。

该数据库包含五个表,这些表存储了与51,000多个客户服务交互有关的数据,例如对客户服务的呼叫或与在线支持代理的聊天。数据还包括可识别个人客户的个人身份信息,包括姓名和联系信息。

一个名为“案例”的表包含传入的客户查询,包括客户的姓名,电子邮件地址,电话号码以及他们与客户服务交互的日期和时间。这些客户服务交互中的许多交互都是在9月中旬进行的。

数据还包含对客户隐藏的信息。“案例”表中的每个客户服务交互似乎都根据从查询中选择的关键字对客户的查询进行了分级。这有助于确定客户的“情感”,然后将其投诉描述为“消极”或“中立”。数据还包括客户交互的“优先级”,从而可以将其推向更高的队列。

另一个名为“聊天”的表包含数千个客户与支持代理的逐行在线聊天交互,但还包含有关客户的浏览器和网络连接,他们位于何处,他们使用什么操作系统以及他们的互联网的信息。提供者。

一些记录的聊天日志还包含敏感信息,例如订单号和邮政跟踪号,但是公开的数据库中没有密码或财务数据。

“电子邮件”表包含整个电子邮件线程,客户详细说明了订单中的问题或其他问题。而且,“电话”表包含有关每个呼叫的具体信息,包括日期和时间,客户被保留的时间,呼叫的笔录(通常包括客户订单的详细信息)以及内部链接(其中我们无法访问)以录制通话记录。

数据还包含一些帐户信息,包括工作电子邮件地址和属于Vistaprint客户服务人员的一些电话号码。

根据Hough的说法,该数据库当前未发送或接收数据。该数据库被称为“迁移”,表明在将客户记录从一台服务器移到另一台服务器时,该数据库用于临时存储数据。

但是尚不清楚为什么要公开数据库并保持在线状态而没有密码。

这是涉及松散的内部数据控件的安全性失效的最新示例。仅今年一年,数起数据泄露事件就使数百万客户面临风险,其中包括在线游戏“ Magic:The Gathering”(一个受欢迎的在线“ camgirl”网站)以及求职网站Monster.com和IT巨头Tech Data。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
Top