Aura, una società statunitense di protezione dell’identità, ha confermato una violazione dei dati che riguarda circa 900.000 registri, principalmente riguardanti informazioni di contatto archiviate in un sistema di marketing.
L’azienda ha affermato che la maggior parte dei dati esposti riguarda nomi e indirizzi email raccolti tramite una piattaforma di marketing di terze parti collegata a un’azienda acquisita nel 2021. Secondo la dichiarazione dell’azienda, la violazione non ha avuto un impatto sui suoi sistemi principali che conservano informazioni dei clienti più sensibili.
Aura ha dichiarato che un sottoinsieme più piccolo di documenti includeva ulteriori informazioni personali. Questo gruppo comprendeva meno di 20.000 clienti attivi e meno di 15.000 ex clienti. In quei casi, i dati esposti potevano includere nomi, indirizzi email, numeri di telefono e abitazioni. L’azienda ha dichiarato che numeri di previdenza sociale, password e dati finanziari non sono stati accessibili.
La violazione segue le affermazioni di un attore minaccioso che ha offerto un dataset contenente più di 900.000 record relativi ad Aura. L’analisi esterna dei dati ha indicato che includevano dettagli di contatto e altre informazioni come indirizzi IP e note del servizio clienti.
I ricercatori di sicurezza collegarono l’incidente a una campagna più ampia che prende di mira sistemi collegati agli ambienti Salesforce. I rapporti indicano che gli attaccanti potrebbero aver sfruttato controlli di accesso configurati in modo errato in servizi pubblicamente esposti per recuperare dati senza autenticazione.
Aura ha detto che sta notificando le persone interessate dove appropriato e guidando i clienti. L’azienda ha inoltre dichiarato di aver adottato misure per mettere in sicurezza i sistemi interessati e prevenire incidenti simili.
L’azienda offre servizi di monitoraggio dell’identità e protezione contro le frodi, inclusi strumenti progettati per avvisare gli utenti dell’esposizione ai dati. I funzionari hanno dichiarato che l’indagine sull’incidente è in corso, con ulteriori analisi focalizzate sulla determinazione della piena portata della violazione e dei sistemi coinvolti.