Den amerikanske detailhandler Carter udsatte ved et uheld personligt identificerbare oplysninger (PII) for potentielt hundreder af tusinder af kunder.
Fredag sagde vpnMentor, at hændelsen ikke var forårsaget af en usikret spand eller forkert konfiguration i et cloud-opbevaringssystem – som det ofte er tilfældet med når det kommer til utilsigtede lækager – men snarere en “simpel overvågning” i firmaets online ordresporing infrastruktur.
Overtrædelsen, der blev opdaget gennem et webkortlægningsprojekt, der var i gang hos vpnMentor, skyldtes manglende implementering af godkendelsesprotokoller for et populært URL-afkortningsværktøj, der blev brugt på detailhandlerens amerikanske e-handelsdomæne.
Carter's er en storforhandler af babybeklædning og tøj i USA, som nu opererer over hele verden. Virksomheden genererede mere end 3 milliarder dollars i omsætning i løbet af 2020.
Når et køb blev foretaget via Carters amerikanske websted, ville sælgeren automatisk sende dem en forkortet URL for at få adgang til en købsbekræftelsesside. En mangel på sikkerhed omkring selve webadresserne sammen med ingen godkendelse til at bekræfte kunden var imidlertid problematisk.
Bekræftelsessiderne, genereret af Lincs automatiseringsplatform, indeholdt en række kundepIII – og for at tilføje et andet potentielt problem udløb linkene aldrig, hvilket gjorde det muligt for nogen at få adgang til disse sider når som helst sammen med backend JSON-poster.
Oplysninger, der blev eksponeret på disse sider, omfattede fulde navne, fysiske adresser, e-mail-adresser, telefonnumre, forsendelses-tracker-id'er samt købs- og transaktionsoplysninger.
“På grund af det enorme volumen af salget, Carter nyder hvert år, udsatte denne enkle, men drastiske tilsyn 100.000 mennesker for svindel, tyveri og mange andre farer, ”siger forskerne.
På grund af fejlens art er det nøjagtige antal eksponerede poster ukendt. Imidlertid vurderer holdet, at over 410.000 poster kunne have været åbne for misbrug, med den potentielle indvirkning inklusive phishing, social engineering og identitetstyveri.
Carters blev informeret om sikkerhedsbruddet den 22. marts, fem dage efter den første opdagelse. Der blev kontaktet den 30. marts, og oprindeligt bad forhandleren vpnMentor om at indsende deres fund gennem Bugcrowd. Imidlertid accepterede Carter til sidst den direkte rapport, og de forkortede webadresser blev trukket mellem 4. – 7. april.
ZDNet har nået ud til Carters men har ikke hørt noget tilbage på offentliggørelsestidspunktet.
Tidligere og beslægtet dækning
Datalækage involverer over 200.000 mennesker i Amazon falske produktanmeldelsesfidus
Paleohacks datalæk udsætter kundeoptegnelser, adgangskoder til nulstilling af adgangskode
23.600 hackede databaser er lækket fra en defunct 'data breach index' site
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499, eller derover ved Keybase: charlie0
Relaterede emner:
Sikkerhed TV Data Management CXO Data Centers 