何十万もの顧客が影響を受けた可能性があります。
米国の小売業者カーターズは、数十万人に及ぶ可能性がある顧客の個人識別情報 (PII) を誤って漏洩してしまいました。
安全
- 安全性の高いリモート ワーカーの 8 つの習慣
- 携帯電話からスパイウェアを見つけて削除する方法
- 最高の VPN サービス: トップ 5 をどう比較しますか?
- データ侵害に関与しているかどうかを確認する方法 - 次に何をすべきか
金曜日に、 vpnメンターは言いました インシデントは、よくあることですが、セキュリティで保護されていないバケットやクラウド ストレージ システムの構成ミスによって引き起こされたものではありません 偶発的な漏洩に関しては、むしろ同社のオンライン注文追跡における「単純な見落とし」が原因である インフラストラクチャー。
この侵害は、Noam Rotem 氏と Ran Locar 氏率いる vpnMentor で進行中の Web マッピング プロジェクトを通じて発見され、原因は次のとおりでした。 小売業者の米国の電子商取引で使用されている人気の URL 短縮ツールの認証プロトコルの実装に失敗した ドメイン。
カーターズは米国のベビー服およびアパレルの大手小売業者であり、現在は世界中で事業を展開しています。 同社は 2020 年に 30 億ドルを超える収益を上げました。
カーター社の米国 Web サイトを通じて購入が行われると、ベンダーは購入確認ページにアクセスするための短縮 URL を自動的に送信します。 しかし、URL 自体のセキュリティが欠如しており、顧客を確認するための認証がないことが問題でした。
Linc の自動化プラットフォームによって生成された確認ページには、さまざまな顧客 PII が含まれていました。 潜在的な問題として、リンクの有効期限が切れることはなく、バックエンド JSON とともに誰でもいつでも自由にこれらのページにアクセスできます。 記録。
これらのページで公開された情報には、氏名、住所、電子メール アドレス、電話番号、配送追跡 ID、購入および取引の詳細が含まれていました。
「カーターズ社は毎年莫大な売り上げを上げているため、この単純だが抜本的な監督により、10万人もの人々が詐欺、窃盗、その他多くの危険にさらされた」と研究者らは述べている。
欠陥の性質上、公開されたレコードの正確な数は不明です。 ただし、チームは 410,000 件を超える記録が悪用される可能性があり、フィッシング、ソーシャル エンジニアリング、個人情報の盗難などの潜在的な影響があると推定しています。
カーターズ社は、最初の発見から 5 日後の 3 月 22 日にセキュリティ侵害について知らされました。 連絡は 3 月 30 日に行われ、当初、小売業者は vpnMentor に Bugcrowd を通じて調査結果を提出するよう依頼しました。 しかし、カーターズ社は最終的に直接報告を受け入れ、短縮URLは4月4日から7日の間に削除された。
ZDNetはカーターズ氏に連絡を取ったが、記事掲載時点では返答は得られていない。
過去の報道と関連報道
-
データ漏洩、Amazonの偽商品レビュー詐欺に20万人以上関与
-
Paleohacksのデータ漏洩により顧客記録とパスワードリセットトークンが暴露される
-
ハッキングされた23,600のデータベースが廃止された「データ侵害インデックス」サイトから流出
ヒントはありますか? WhatsApp 経由で安全に連絡を取る | +447713 025 499、または Keybase: charlie0 までご連絡ください。