天创培训:您身边的信息安全培训专家!
行业动态
婴儿服装巨头卡特暴露了大量购物者数据

据报道,卡特未能在商店的包裹跟踪页面上实施适当的身份验证协议,使数据和购物者暴露在欺诈之下。

VpnMentor 分析师报告称,由于该公司使用的自动在线购买软件 Linc 的安全性不足,美国婴儿服装零售商 Carter 暴露了其数十万客户的个人身份信息 (PII)。

Linc 系统在没有任何适当的安全保护的情况下提供了带有 Carter 的采购和运输数据的缩短 URL。通过修改 Linc 生成的 URL,可以访问后端JSON 数据,显示更多客户详细信息,而确认页面并未公开这些信息,例如 Carter 客户的全名、电话号码和送货地址。

总的来说,暴露的数据包括以下内容:

全名

电子邮件地址

账单地址

城市

状态

压缩

国家代码

国家

电话号码

采购详情

运输跟踪 ID 和链接

暴露超过 410,000 条记录

据悉,卡特的数据泄露事件已经暴露了超过41万条记录,其中包括可追溯到2015年的数十万条客户记录。

VpnMentor 指出,缩短的 URL 不仅容易被黑客发现,因为“缺乏足够的熵或补偿安全协议”。

Carters ,数据库, JSON ,泄漏,隐私,安全

Carter's 没有设置身份验证来验证购买者是否访问了确认页面。研究人员还指出,这些链接不会过期。这意味着即使在几年前从 Carter 的在线商店购买的客户也将面临风险。

客户暴露于网络钓鱼诈骗、欺诈

VpnMentor 研究人员警告说,这种涉及 PII 的数据泄露使 Caster 的客户暴露于各种骗局,例如恶意网络犯罪分子可以利用这些数据发起网络钓鱼活动,发送看似来自 Carter 的虚假电子邮件,并迫使受害者提供甚至更敏感的数据,例如信用卡信息。

对于最近的订单,威胁行为者可以打电话给客户并讨论他们所做的购买,冒充快递人员或客户支持。他们可以与目标建立融洽的关系,并在他们的犯罪计划中瞄准他们。

vpnMentor 研究人员在他们的报告中警告说:“对于仍在运送给客户的任何购买,黑客可以重定向交付并窃取它们,在线转售卡特的任何被盗产品。”

vpnMentor 的团队于 3 月 17 日联系了 Carter's。该公司要求他们通过其他渠道提交详细的分析报告。缩短的 URL 后来在 2021 年 4 月 4 日至 4 月 7 日之间的某个时间停用。

(来源:HackRead)