У результаті витоку з бази даних австралійського ритейлера Sydney Tools, зловмисники отримали доступ до понад 34 мільйонів записів онлайн-замовлень та даних працівників. Це включає адреси, розміри заробітної плати й деталі замовлених товарів.
Компанія залишила свою базу даних Clickhouse відкритою, дозволяючи будь-кому переглядати конфіденційну інформацію без необхідності авторизації. Серед вкрадених даних: імена, адреси, телефонні номери, електронні адреси, деталі про придбані інструменти, а також особисті дані приблизно 5 000 співробітників, зокрема розміри зарплат і плани продажів. Найбільш тривожним є той факт, що база даних залишається доступною, незважаючи на багаторазові спроби дослідників з кібербезпеки зв’язатися з компанією. Після оприлюднення інформації вони також звернулися до Australian Signals Directorate, проте реакції так і не було отримано.
Sydney Tools є одним з найбільших продавців професійних інструментів в Австралії, аналогом американського Home Depot. Хоча офіційно компанія повідомляє про 1 000 співробітників, база даних містила інформацію про набагато більшу кількість осіб, що вказує на можливий витік даних колишніх працівників. На думку дослідників, такий обсяг інформації відкриває широкі можливості для цільових атак, особливо через фішинг, шахрайство та методи соціальної інженерії, орієнтовані на клієнтів з дорогими покупками та співробітників з високими заробітними платами.
Інцидент із Sydney Tools демонструє катастрофічні наслідки недбалого ставлення до кібербезпеки у сфері роздрібної торгівлі. Витік даних не лише ставить під загрозу тисячі клієнтів та співробітників, але й створює простір для фізичних крадіжок та шахрайства. Компанії терміново потрібно не лише закрити вразливу базу даних, але й публічно прозвітувати про інцидент, надати інструкції своїм клієнтам та провести всебічний аудит своєї кіберінфраструктури.
251 
207 
192 