डच कॉस्मेटिक्स श्रृंखला Rituals ने अपने MyRituals लॉयल्टी प्रोग्राम के सदस्यों के व्यक्तिगत डेटा के उल्लंघन की पुष्टि की है। समझौता की गई जानकारी में नाम, पते, फोन नंबर, ईमेल पते, जन्म तिथि और लिंग शामिल हैं। कंपनी का दावा है कि पासवर्ड और भुगतान डेटा सुरक्षित हैं, लेकिन उसने अपने 41 मिलियन उपयोगकर्ताओं में से प्रभावित लोगों की सटीक संख्या का खुलासा नहीं किया है।
हमले ने बिना पूर्ण एन्क्रिप्शन के लॉयल्टी डेटाबेस को प्रभावित किया 🔓
Rituals में उल्लंघन संभवतः सदस्यों की प्रोफ़ाइल संग्रहीत करने वाले सर्वरों तक अनधिकृत पहुँच से उत्पन्न हुआ है। हालाँकि कंपनी का दावा है कि पासवर्ड हैश किए गए हैं और भुगतान से समझौता नहीं किया गया, लेकिन डाक पतों और जन्म तिथियों जैसे डेटा के उजागर होने से पता चलता है कि एन्क्रिप्शन परत सभी व्यक्तिगत जानकारी को कवर नहीं करती थी। इस प्रकार की घटना आमतौर पर API में कमजोरियों या संवेदनशील डेटा के विभाजन की कमी के कारण होती है, जिससे उपयोगकर्ता लक्षित फ़िशिंग अभियानों के प्रति संवेदनशील हो जाते हैं।
कम से कम उन्होंने उपहार वाला नेसेसरी बैग तो नहीं लिया 😅
Rituals हमें आश्वस्त करता है कि पासवर्ड और भुगतान डेटा सुरक्षित हैं, जो राहत की बात है। क्योंकि, ईमानदारी से कहें तो, सबसे बुरी बात यह नहीं है कि वे आपकी जन्म तिथि और लिंग जान लें, बल्कि यह है कि उन्हें पता चल जाए कि आप अब भी अपने 20 साल का वही पासवर्ड इस्तेमाल कर रहे हैं। अब बस यह बाकी है कि हैकर्स आपसे पहले ही लॉयल्टी पॉइंट्स को सुगंधित मोमबत्तियों में बदलना शुरू कर दें।