Den amerikanska återförsäljaren Carter avslöjade av misstag personligt identifierbar information (PII) för hundratusentals kunder.
På fredag sa vpnMentor att händelsen inte orsakades av en osäker hink eller felkonfiguration i ett molnlagringssystem – som ofta är fallet när det gäller oavsiktliga läckor – utan snarare en “enkel övervakning” i företagets onlinebeställningsspårning infrastruktur.
Brottet, som upptäcktes genom ett webbmappningsprojekt pågår på vpnMentor, orsakades av misslyckande med att implementera autentiseringsprotokoll för ett populärt URL-förkortningsverktyg som används på återförsäljarens amerikanska e-handelsdomän.
Carter's är en stor återförsäljare av babykläder och kläder i USA som nu är verksamt över hela världen. Företaget genererade mer än 3 miljarder dollar i intäkter under 2020.
När ett köp gjordes via Carters amerikanska webbplats skulle säljaren automatiskt skicka en förkortad URL till dem för att komma åt en inköpsbekräftelsessida. En brist på säkerhet kring själva webbadresserna, tillsammans med ingen autentisering för att verifiera kunden, var emellertid problematisk.
Bekräftelsessidorna, genererade av Lincs automatiseringsplattform, innehöll en mängd kund-PII – och för att lägga till ytterligare ett potentiellt problem upphörde länkarna aldrig, vilket gav någon möjlighet att komma åt dessa sidor när som helst, tillsammans med back-JSON-poster.
Information som exponerades på dessa sidor innehöll fullständiga namn, fysiska adresser, e-postadresser, telefonnummer, leveransspårnings-ID samt köp- och transaktionsinformation.
“På grund av den stora volymen av försäljningen Carter har varje år, denna enkla men drastiska tillsyn utsatte 100 000-tal för människor för bedrägeri, stöld och många andra faror, säger forskarna.
På grund av bristets karaktär är det exakta antalet exponerade poster okänt. Teamet uppskattar dock att över 410 000 poster kan ha varit öppna för missbruk, med potentiell inverkan inklusive nätfiske, socialteknik och identitetsstöld.
Carters informerades om säkerhetsöverträdelsen den 22 mars, fem dagar efter den första upptäckten. Kontakt gjordes den 30 mars och initialt bad återförsäljaren vpnMentor att skicka in sina resultat via Bugcrowd. Carter accepterade dock så småningom direktrapporten och de förkortade webbadresserna drogs mellan 4 – 7 april.
ZDNet har nått ut till Carters men har inte hört tillbaka vid tidpunkten för publiceringen.
Tidigare och relaterad täckning
Dataläckage involverar över 200 000 personer i Amazon-falsk produktbedömningslösningar
Paleohacks dataläckage exponerar kundregister, lösenordsåterställningstecken
23 600 hackade databaser har läckt ut från en nedlagda webbplats för “dataöverträdelse”
Har du ett tips? Kontakta säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV Data Management CXO Data Centers 