Zales.com слил данные клиентов, как это сделали в 2018 году родственные фирмы Jared, Kay Jewelers

В декабре 2018 года поставщик ювелирных изделий Signet Jewelers устранил слабую сторону в своих веб-сайтах Kay Jewelers и Jared, которая раскрыла информацию о заказах всех их онлайн-клиентов. На этой неделе дочерняя компания Signet – Zales.com – обновила свой сайт, устранив почти такую же утечку данных клиентов.

На прошлой неделе KrebsOnSecurity получил информацию от читателя, который просматривал сайт Zales.com и вдруг обнаружил, что просматривает информацию о чужих заказах на сайте, включая имя, адрес выставления счета, адрес доставки, номер телефона, адрес электронной почты, товары и общую сумму покупки, дату доставки, ссылку для отслеживания и последние четыре цифры номера кредитной карты клиента.

Читательница заметила, что ссылка на информацию о заказе, на которую она наткнулась, включала длинную цифровую комбинацию, при изменении которой можно было получить информацию о заказе другого клиента.

Когда читательница не получила немедленного ответа от Signet, KrebsOnSecurity связался с компанией. В письменном ответе компания Signet заявила: “ИТ-специалист обратил наше внимание на проблему. Мы оперативно приняли меры, и после проверки не обнаружили никаких злоупотреблений или негативного воздействия на какие-либо системы или данные клиентов”.

Их заявление продолжается:

“В качестве принципа ведения бизнеса мы придаем защите информации потребителей наивысший приоритет и активно инициируем независимое и ведущее в отрасли тестирование безопасности. В результате мы превосходим отраслевые стандарты по уровню защиты данных. Мы всегда ценим, когда потребители обращаются к нам с отзывами, и обязуемся продолжать наши усилия по защите данных”.

Когда компания Signet устранила аналогичные недостатки на своих веб-сайтах Jared и Kay в 2018 году, читатель, который обнаружил и сообщил об этой утечке данных, сказал, что его мысли быстро переключились на различные способы, которыми мошенники могут воспользоваться для получения доступа к информации о заказах клиентов.

“Моя первая мысль была о том, что они могут отследить посылку с ювелирными изделиями до чьей-то двери и стащить ее с порога”, – сказал Брэндон Шихи, веб-разработчик из Далласа, – “Моя вторая мысль была о том, что кто-то может позвонить клиентам Jared и притвориться Джаредом, прочитать последние четыре цифры карты клиента и сказать, что с заказом возникли проблемы, и если они смогут получить другую карту клиента, то смогут сразу же провести ее и быстро выполнить заказ. Это была бы довольно убедительная афера. Или просто целенаправленные фишинговые атаки”

В грандиозной схеме многих других, гораздо более ужасных вещей, происходящих сейчас в сфере информационной безопасности, эта утечка данных клиентов Zales – мелкий картофель. И этот тип раскрытия данных невероятно распространен сегодня: KrebsOnSecurity, вероятно, мог бы писать по одной статье каждый день в течение нескольких месяцев, основываясь только на примерах, которые я видел в десятках других мест в Интернете.

Но я думаю, что одна из основных причин, по которой компании продолжают совершать эти легко предотвратимые ошибки с данными своих клиентов, заключается в том, что для организаций, которые не проявляют большей осторожности, практически никогда не бывает реальных последствий. Между тем, данные их клиентов могут быть свободно расхватаны кем угодно или чем угодно, кто захочет их искать.

“Будучи веб-разработчиком, я могу списать это только на полную некомпетентность, лень и безразличие к данным своих клиентов”, – сказал Шихи. “Это не новинка, это элементарная безопасность веб-сайта”.

Оставьте комментарий