Слаба сигурност около съкращаването на URL адреси разкрива PII на клиентската база на американския търговец на дребно

Американският търговец на дребно Картър случайно изложи личната информация (PII) на потенциално стотици хиляди клиенти.

В петък, каза vpnMentor инцидентът не е причинен от незащитена кофа или неправилно конфигуриране в облачна система за съхранение – както често се случва, когато става въпрос за случайни течове – а по-скоро от “прост надзор” в онлайн инфраструктурата за проследяване на поръчките на фирмата.

Нарушението, открито чрез проект за уеб картиране, който е в ход във vpnMentor, е причинено от неуспех на внедряване на протоколи за удостоверяване на популярен инструмент за съкращаване на URL адреси, използван в американския домейн за електронна търговия на търговеца.

Carter’s е основен търговец на дребно за бебешки дрехи и облекло в САЩ, който сега работи по целия свят. Компанията е генерирала над $ 3 милиарда приходи през 2020 г.

Когато е направена покупка през уебсайта на Carter в САЩ, доставчикът автоматично ще им изпрати съкратен URL адрес за достъп до страницата за потвърждение на покупката. Въпреки това липсата на сигурност около самите URL адреси, заедно с липса на удостоверяване за проверка на клиента, беше проблематична.

Страниците за потвърждение, генерирани от платформата за автоматизация на Linc, съдържаха разнообразни идентификационни данни на клиентите – и за да се добави друг потенциален проблем, връзките никога не изтекоха, позволявайки на всеки да има достъп до тези страници по желание по всяко време, заедно с бекенда JSON записи.

Информацията, изложена на тези страници, включва пълни имена, физически адреси, имейл адреси, телефонни номера, идентификатори за проследяване на доставката, както и подробности за покупка и транзакция.

“Поради огромния обем продажби, на които Картър се радва всяка година, този прост, но драстичен надзор изложи 100 000 души на измами, кражби и много други опасности”, казват изследователите.

Поради естеството на недостатъка, точният брой изложени записи не е известен. Екипът обаче изчислява, че над 410 000 записи биха могли да бъдат отворени за злоупотреба, с потенциално въздействие, включително фишинг, социално инженерство и кражба на самоличност.

Carter’s е информиран за нарушението на сигурността на 22 март, пет дни след първоначалното откритие. Контактът беше осъществен на 30 март и първоначално търговецът на дребно помоли vpnMentor да представи своите констатации чрез Bugcrowd. В крайна сметка обаче Картър прие директния доклад и съкратените URL адреси бяха изтеглени между 4 и 7 април.

ZDNet се е свързал с Carter’s, но не е получил отговор по време на публикуването.


? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com