Der US-Einzelhändler Carter hat versehentlich die personenbezogenen Daten (PII) von potenziell Hunderttausenden von Kunden preisgegeben.
Am Freitag sagte vpnMentor, der Vorfall sei nicht durch einen ungesicherten Bucket oder eine Fehlkonfiguration in einem Cloud-Speichersystem verursacht worden – wie es bei versehentlichen Lecks häufig der Fall ist –, sondern eher durch ein „einfaches Versehen“ in der Online-Auftragsverfolgung des Unternehmens Infrastruktur.
Die Sicherheitsverletzung, die durch ein laufendes Web-Mapping-Projekt bei vpnMentor entdeckt wurde, wurde durch das Versäumnis verursacht, Authentifizierungsprotokolle für ein beliebtes URL-Shortener-Tool zu implementieren, das in der US-E-Commerce-Domain des Einzelhändlers verwendet wird.
Carter's ist ein bedeutender Einzelhändler für Babybekleidung und -bekleidung in den Vereinigten Staaten, der heute weltweit tätig ist. Das Unternehmen erzielte im Jahr 2020 einen Umsatz von über 3 Mrd. $.
Wenn ein Kauf über die US-amerikanische Website von Carter getätigt wurde, sendete der Verkäufer ihm automatisch eine verkürzte URL, um auf eine Kaufbestätigungsseite zuzugreifen. Problematisch war jedoch die mangelnde Sicherheit der URLs selbst sowie die fehlende Authentifizierung zur Verifizierung des Kunden.
Die von Lincs Automatisierungsplattform generierten Bestätigungsseiten enthielten eine Vielzahl von Kunden-PII – und um ein weiteres potenzielles Problem hinzuzufügen, sind die Links nie abgelaufen, sodass jeder jederzeit und jederzeit neben Backend-JSON-Datensätzen auf diese Seiten zugreifen kann.
Informationen auf diesen Seiten enthalten vollständige Namen, physische Adressen, E-Mail-Adressen, Telefonnummern, Versandverfolgungs-IDs sowie Kauf- und Transaktionsdetails.
“Aufgrund des massiven Volumens des Umsatzes, den Carter jedes Jahr genießt, setzte diese einfache, aber drastische Aufsicht 100.000 Menschen Betrug, Diebstahl und vielen anderen Gefahren aus”, sagen die Forscher.
Aufgrund der Art des Fehlers ist die genaue Anzahl der aufgedeckten Datensätze unbekannt. Das Team schätzt jedoch, dass über 410.000 Datensätze missbraucht werden könnten, mit möglichen Auswirkungen wie Phishing, Social Engineering und Identitätsdiebstahl.
Carter's wurde am 22. März, fünf Tage nach der ersten Entdeckung, über die Sicherheitsverletzung informiert. Der Kontakt wurde am 30. März hergestellt, und zunächst bat der Einzelhändler vpnMentor, seine Ergebnisse über Bugcrowd einzureichen. Carter's akzeptierte jedoch schließlich den direkten Bericht und die verkürzten URLs wurden zwischen dem 4. und 7. April gezogen.
ZDNet hat Carter's kontaktiert, aber zum Zeitpunkt der Veröffentlichung noch nichts gehört.
Frühere und verwandte Berichterstattung
Datenleck impliziert über 200.000 Menschen in Betrug mit gefälschten Produktbewertungen von Amazon
Paleohacks-Datenleck enthüllt Kundendatensätze und Token zum Zurücksetzen von Passwörtern
23.600 gehackte Datenbanken sind von einem nicht mehr existierende 'Datenschutzverletzungs-Index'-Site
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 