De Amerikaanse detailhandelaar Carter heeft per ongeluk de persoonlijk identificeerbare informatie (PII) van mogelijk honderdduizenden klanten blootgelegd.
Op vrijdag zei vpnMentor dat het incident niet werd veroorzaakt door een onbeveiligde bucket of verkeerde configuratie in een cloudopslagsysteem – zoals vaak het geval is bij onopzettelijke lekken – maar eerder een “eenvoudig onoplettendheid” in het online volgen van bestellingen van het bedrijf infrastructuur.
De inbreuk, ontdekt via een web mapping-project dat aan de gang is bij vpnMentor, werd veroorzaakt door het niet implementeren van authenticatieprotocollen voor een populaire tool voor het verkorten van URL's die wordt gebruikt op het Amerikaanse e-commercedomein van de retailer.
Carter's is een grote retailer van babykleding en -kleding in de Verenigde Staten, die nu wereldwijd actief is. Het bedrijf genereerde in 2020 meer dan $ 3 miljard aan inkomsten.
Wanneer een aankoop werd gedaan via de Amerikaanse website van Carter, stuurde de verkoper hen automatisch een verkorte URL om toegang te krijgen tot een aankoopbevestigingspagina. Een gebrek aan beveiliging rond de URL's zelf, samen met geen authenticatie om de klant te verifiëren, was echter problematisch.
De bevestigingspagina's, gegenereerd door het automatiseringsplatform van Linc, bevatten een verscheidenheid aan PII van klanten — en om nog een potentieel probleem toe te voegen, de links zijn nooit verlopen, waardoor iedereen deze pagina's naar believen en op elk moment kan openen, naast backend JSON-records.
De informatie op deze pagina's omvat volledige namen, fysieke adressen, e-mailadressen, telefoonnummers, tracker-ID's voor verzending, evenals aankoop- en transactiegegevens.
“Vanwege het enorme volume van de verkoop die Carter elk jaar geniet, heeft dit eenvoudige maar drastische toezicht 100.000 mensen blootgesteld aan fraude, diefstal en vele andere gevaren”, zeggen de onderzoekers.
Vanwege de aard van de fout is het exacte aantal blootgestelde records onbekend. Het team schat echter dat meer dan 410.000 records vatbaar kunnen zijn voor misbruik, met als mogelijke gevolgen phishing, social engineering en identiteitsdiefstal.
Carter's werd op 22 maart, vijf dagen na de eerste ontdekking, op de hoogte gebracht van de inbreuk op de beveiliging. Op 30 maart werd contact opgenomen en aanvankelijk vroeg de retailer vpnMentor om hun bevindingen via Bugcrowd in te dienen. Carter's accepteerde uiteindelijk de direct ondergeschikte en de verkorte URL's werden tussen 4 en 7 april verwijderd.
ZDNet heeft contact opgenomen met Carter, maar heeft op het moment van publicatie niets gehoord.
Eerdere en gerelateerde berichtgeving
Datalek betrekt meer dan 200.000 mensen bij nep-productrecensiezwendel van Amazon
Paleohacks-gegevenslek onthult klantrecords, tokens voor wachtwoordherstel
23.600 gehackte databases zijn gelekt uit een ter ziele gegane 'datalekindex'-site
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 