Заказал аниме-фигурку? Теперь твой домашний адрес знает весь Интернет

Японская компания Good Smile Company, известная своими фигурками по мотивам аниме и видеоигр, допустила утечку данных сотен тысяч клиентов из-за неправильно настроенного облачного хранилища Amazon Web Services (AWS) Simple Storage Service (S3). Исследовательская группа Cybernews обнаружила, что утечка продолжается уже несколько месяцев, раскрывая порядка 1,2 миллиона файлов компании.

156 CSV-файлов и 1058 XLSX-файлов в утечке содержат чувствительную информацию, такую как полные имена, адреса электронной почты, никнеймы, домашние адреса, детали заказов, IP-адреса и способы оплаты. В общей сложности, утечка затронула данные более 270 000 клиентов Good Smile Company, преимущественно из США и Канады.

Утечка была обнаружена ещё в апреле этого года. Несмотря на многочисленные попытки исследователей связаться с компанией, они не увенчались успехом. Таким образом, проблема по-прежнему не была решена, а данные покупателей продолжают утекать в открытый доступ.

Специалисты Cybernews предупреждают, что раскрытие персональной информации может привести к целенаправленным фишинговым атакам. Так, злоумышленники могут использовать полученные данные для отправки мошеннических писем, выдавая их за официальные сообщения от Good Smile Company, что может ещё больше ухудшить положение клиентов.

Кроме того, утекшая информация может быть использована для социальной инженерии, где мошенники пытаются обманом получить дополнительные личные данные или заставить жертв предпринять действия, угрожающие их безопасности. Некоторым сервисам для верификации личности достаточно домашнего адреса, что уже может значительно помочь злоумышленникам в получении доступа к существующим учётным записям клиентов.

Ещё одним риском является возможность так называемого доксинга, когда личная информация публикуется в открытом доступе без разрешения. Мошенники часто ищут такие данные в интернете для их дальнейшего использования в корыстных целях.

Для предотвращения подобных утечек в будущем, исследователи Cybernews рекомендуют Good Smile Company предпринять следующие шаги:

• изменить настройки доступа к хранилищу, чтобы ограничить публичный доступ и обеспечить безопасность данных;
• мониторить журналы доступа для оценки возможности несанкционированного доступа;
• включить шифрование данных на стороне сервера для защиты данных в состоянии покоя;
• использовать службу управления ключами AWS (KMS) для безопасного управления ключами шифрования;
• внедрить SSL/TLS для защиты данных при передаче и обеспечить безопасную коммуникацию;
• рассмотреть внедрение лучших практик безопасности, включая регулярные аудиты, автоматизированные проверки безопасности и обучение сотрудников.

Good Smile Company, основанная в Японии в 2001 году, занимается разработкой, маркетингом и распространением фигурок, основанных на аниме, манге и видеоиграх. Продукция компании пользуется большой популярностью в Японии, США и Китае.