据报道，卡特未能在商店的包裹跟踪页面上实施适当的身份验证协议，使数据和购物者暴露在欺诈之下。

VpnMentor 分析师报告称，由于该公司使用的自动在线购买软件 Linc 的安全性不足，美国婴儿服装零售商 Carter 暴露了其数十万客户的个人身份信息 (PII)。

Linc 系统在没有任何适当的安全保护的情况下提供了带有 Carter 的采购和运输数据的缩短 URL。通过修改 Linc 生成的 URL，可以访问后端JSON 数据，显示更多客户详细信息，而确认页面并未公开这些信息，例如 Carter 客户的全名、电话号码和送货地址。

总的来说，暴露的数据包括以下内容：

全名

电子邮件地址

账单地址

城市

状态

压缩

国家代码

国家

电话号码

采购详情

运输跟踪 ID 和链接

暴露超过 410,000 条记录

据悉，卡特的数据泄露事件已经暴露了超过41万条记录，其中包括可追溯到2015年的数十万条客户记录。

VpnMentor 指出，缩短的 URL 不仅容易被黑客发现，因为“缺乏足够的熵或补偿安全协议”。

Carter's 没有设置身份验证来验证购买者是否访问了确认页面。研究人员还指出，这些链接不会过期。这意味着即使在几年前从 Carter 的在线商店购买的客户也将面临风险。

客户暴露于网络钓鱼诈骗、欺诈

VpnMentor 研究人员警告说，这种涉及 PII 的数据泄露使 Caster 的客户暴露于各种骗局，例如恶意网络犯罪分子可以利用这些数据发起网络钓鱼活动，发送看似来自 Carter 的虚假电子邮件，并迫使受害者提供甚至更敏感的数据，例如信用卡信息。

对于最近的订单，威胁行为者可以打电话给客户并讨论他们所做的购买，冒充快递人员或客户支持。他们可以与目标建立融洽的关系，并在他们的犯罪计划中瞄准他们。

vpnMentor 研究人员在他们的报告中警告说：“对于仍在运送给客户的任何购买，黑客可以重定向交付并窃取它们，在线转售卡特的任何被盗产品。”

vpnMentor 的团队于 3 月 17 日联系了 Carter's。该公司要求他们通过其他渠道提交详细的分析报告。缩短的 URL 后来在 2021 年 4 月 4 日至 4 月 7 日之间的某个时间停用。

（来源：HackRead）