Den amerikanske forhandleren Carter avslørte ved et uhell personlig identifiserbar informasjon (PII) til potensielt hundretusener av kunder.
Fredag sa vpnMentor at hendelsen ikke var forårsaket av en usikret bøtte eller feilkonfigurasjon i et skylagringssystem – som ofte er tilfellet når det gjelder utilsiktede lekkasjer – men snarere en “enkel oversikt” i firmaets online ordresporing. infrastruktur.
Bruddet, oppdaget gjennom et nettkartleggingsprosjekt på gang hos vpnMentor, skyldtes manglende implementering av autentiseringsprotokoller for et populært URL-forkortingsverktøy som brukes på forhandlerens amerikanske e-handelsdomene.
Carter's er en stor forhandler av babyklær og klær i USA, som nå opererer over hele verden. Selskapet genererte over 3 milliarder dollar i omsetning i løpet av 2020.
Når et kjøp ble gjort via Carters amerikanske nettsted, ville leverandøren automatisk sende dem en forkortet URL for å få tilgang til en kjøpsbekreftelsesside. Imidlertid var mangel på sikkerhet rundt URL-ene selv, uten autentisering for å verifisere kunden, problematisk.
Bekreftelsessidene, generert av Lincs automatiseringsplattform, inneholdt en rekke kundepIII – og for å legge til et annet potensielt problem utløp koblingene aldri, slik at noen kunne få tilgang til disse sidene når som helst, sammen med JSON-poster.
Informasjon som ble eksponert på disse sidene, inkluderer fulle navn, fysiske adresser, e-postadresser, telefonnumre, sporings-ID-er, samt kjøps- og transaksjonsdetaljer.
“På grunn av det enorme volumet av salget Carter nyter hvert år, utsatte denne enkle, men drastiske tilsynet 100.000-tallet for svindel, tyveri og mange andre farer, sier forskerne.
På grunn av feilens art er det eksakte antall eksponerte poster ukjent. Teamet anslår imidlertid at over 410 000 poster kunne ha vært åpne for misbruk, med potensiell innvirkning inkludert phishing, sosial engineering og identitetstyveri.
Carters ble informert om sikkerhetsbruddet 22. mars, fem dager etter den første oppdagelsen. Kontakt ble gjort 30. mars, og i utgangspunktet ba forhandleren vpnMentor om å sende inn sine funn gjennom Bugcrowd. Imidlertid aksepterte Carter til slutt den direkte rapporten, og de forkortede URL-ene ble trukket mellom 4. – 7. april.
ZDNet har nådd ut til Carters, men har ikke hørt noe tilbake på tidspunktet for publiseringen.
Tidligere og relatert dekning
Datalekkasje innebærer over 200 000 mennesker i falske produktanmeldelsessvindel fra Amazon. Paleohacks datalekkasje eksponerer kundeposter, tokens for tilbakestilling av passord
23 600 hackede databaser har lekket fra en nedlagte 'data breach index' side
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Security TV Data Management CXO Data Centers 