Vistaprint使客户服务数据库不受保护，从而暴露了呼叫，聊天和电子邮件

 
一位安全研究人员在互联网上发现了一个在线印刷巨头Vistaprint的公开数据库。
安全研究员奥利弗·霍夫(Oliver Hough)上周发现了未加密的数据库。数据库上没有密码，任何人都可以访问其中的数据。该数据库最早在11月5日被公开的设备和数据库搜索引擎Shodan检测到，但公开时间可能更长。
霍夫(Hough)在推特上发了警告，提醒公司安全漏洞，但没有回音。
Vistaprint由荷兰母公司Cimpress拥有，在TechCrunch伸出手后，悄悄地使数据库脱机，但在截止日期前未发表评论。 Vistaprint的发言人罗伯特·克罗斯兰(Robert Crosland)在我们发布公告后的一份声明中说，这一风险影响了美国，英国和爱尔兰的客户。
该公司表示：“这是不可接受的，在任何情况下都不应发生。” “我们目前正在进行全面调查，以了解发生了什么以及如何防止将来再次发生。目前，我们不知道是否已经找到安全数据的人员以外的人访问了此数据，”发言人说。
该公司表示，将告知客户有关风险-其中许多人受到严格的GDPR数据保护规则的保护。
该数据库包含五个表，这些表存储了与51,000多个客户服务交互有关的数据，例如对客户服务的呼叫或与在线支持代理的聊天。数据还包括可识别个人客户的个人身份信息，包括姓名和联系信息。
在一个名为“案例”的表中，包含传入的客户查询，包括客户的姓名，电子邮件地址，电话号码以及他们与客户服务互动的日期和时间。这些客户服务交互中的许多交互都是在9月中旬进行的。
数据还包含对客户隐藏的信息。 “案例”表中的每个客户服务互动似乎都根据从客户查询中选择的关键字对客户查询进行了分级。这有助于确定客户的“情感”，然后将他们的投诉描述为“消极”或“中立”。数据还包括客户互动的“优先级”，从而可以将其推向更高的队列。
另一个名为“聊天”的表包含数千个客户与支持代理的逐行在线聊天交互，但还包含有关客户的浏览器和网络连接，他们位于何处，他们使用什么操作系统以及他们的互联网的信息。提供者。
一些记录的聊天日志还包含敏感信息，例如订单号和邮政跟踪号，但是公开的数据库中没有密码或财务数据。
“电子邮件”表包含整个电子邮件线程，客户详细说明了订单中的问题或其他问题。而且，“电话”表包含有关每个呼叫的具体信息，包括日期和时间，客户被保留的时间，呼叫的笔录(通常包括客户订单的详细信息)以及内部链接(其中我们无法访问)以录制通话记录。
数据还包含一些帐户信息，包括工作电子邮件地址和属于Vistaprint客户服务人员的一些电话号码。
根据Hough的说法，该数据库当前未发送或接收数据。该数据库被称为“迁移”，表明在将客户记录从一台服务器移到另一台服务器时，该数据库用于临时存储数据。
但尚不清楚为什么要公开数据库并保持在线状态而没有密码。
这是涉及内部数据控制不严的安全漏洞的最新示例。仅今年一年，数项数据曝光就使数百万客户面临风险，包括在线游戏“ Magic：The Gathering”，一个受欢迎的在线“ camgirl”网站，求职网站Monster.com和IT巨头Tech Data。