Saks Fifth Avenue paljastas isiklikku teavet kümnete tuhandete klientide kohta
Kümnete tuhandete Saks Fifth Avenue klientide isikuandmed on veebis lihttekstina olnud avalikult kättesaadavad, on BuzzFeed News teada saanud.
Andmed hõlmasid nende toodete e -posti aadresse ja tootekoode, mida kliendid ostuhuvi väljendasid; mõned sisaldasid ka telefoninumbreid. Iga kirje sisaldas ka kuupäeva ja kellaaega ning ühte käputäiest korduvatest IP -aadressidest.
Lehed, mida BuzzFeed News viimastel päevadel üle vaatas, võeti pärast HBC -ga ühendust selle loo kommenteerimiseks võrguühenduseta. Saks veebisait teenindab sisselogitud kliente ka mõnel lehel krüptimata ühenduste kaudu, jättes veebis ostlejate teabe häkkerite jaoks haavatavaks, kui nad sirvivad saiti avatud Wifi võrgus.
'See on nii halb, kui turvalisus läheb,' ütles küberjulgeoleku ekspert ja Errata Security omanik Robert Graham BuzzFeed Newsile. Kõik on haavatavad.
'Me võtame seda asja tõsiselt,' ütles Hudson Bay Company pressiesindaja BuzzFeed Newsile. „Me tahame oma kliente veenda, et krediit-, makse- ega parooliteavet ei avaldatud. Meie klientide turvalisus on esmatähtis ja me liigume kiiresti ja agressiivselt, et lahendada olukord, mis on piiratud ühekohalise protsendiga e-posti aadressidest. Oleme lahendanud kõik kliendi telefoninumbritega seotud probleemid, mis moodustasid veelgi väiksema protsendi. '
Siin on redigeeritud ekraanipilt avalikult kättesaadavast teabest
On ebaselge, miks teave oli Internetis avalikult kättesaadav. Kuid Hudson Bay Company pressiesindaja ütles BuzzFeed Newsile, et tal on 'meeskonnad, mis on pühendunud meie klientide andmete turvalisusele ja järgivad valdkonna parimaid tavasid infoturbe osas'.
Kanada jaemüüja on Põhja -Ameerika vanim pidevalt tegutsev ettevõte, mille juured ulatuvad 1670. aastal asutatud karusnahakauplejasse. Ettevõte otsib praegu uut USA kaubamaja omandamist ja on pidanud ülevõtmisläbirääkimisi mõlema Neimaniga Marcus ja Macy's, New York Times teatas eelmisel nädalal .
Üks avalikult juurdepääsetav leht, mida BuzzFeed News vaatas, sisaldas mitmeid Gmaili, AOL-i ja Hotmaili aadresse ning JPMorgani töökoha e-posti kontosid, Charter Communications'i ja valitsuse aadresse. Need olid sageli seotud kliendi jäetud telefoninumbritega.
Graham, küberturvalisuse spetsialist, kes vaatas pärast BuzzFeed Newsiga ühendust võtmist läbi mõned haavatavused, ütles, et need võivad inimesi veelgi turvatundega kokku puutuda.
'Kus suitsu, seal tuld,' ütles ta. 'Parooliteabe saamiseks on tõenäoliselt olemas viis, kuid peaksite otsima edasi.'
Veebipoodide saidid kasutavad ka turvaliste ja mitteturvaliste lehtede segu, mis võib ostjatele tekitada veel ühe haavatavuse.
Saks Fifth Avenue kodulehel ilmub veebisaidiribale väike teade, mis hoiatab kasutajaid, et ühendus pole turvaline. Isegi kui ostja on oma kontole sisse logitud, ei vaja paljud saidi muud lehed turvalist sirvimist, mida kasutaja saab kontrollida, kui https ilmub URL -i ette.
GIF -i esitamiseks või peatamiseks puudutage GIF -i esitamiseks või peatamiseks puudutage SaksFifthAvenue.com / Via saksfifthavenue.com Graham ütles, et see turvaliste ja mitteturvaliste lehtede segu võib muuta ostja avatud WiFi-võrgus sirvimisel haavatavaks, nagu tavaliselt kohvikutes ja muudes avalikes kohtades.
Häkker, kes kasutab sama traadita võrku kui Saksa veebipoe ostja, võib teatud juhtudel nende ühendust pealt kuulata, püüdes kinni andmeid, mis võimaldavad neil tulevikus kliendina süsteemi sisse logida, ostes ja isiklikku teavet hankides.
'Lahenduseks on iga veebilehe krüptimine, mitte ainult sisselogimine,' ütles Graham. 'Need kõik peaksid olema https -lingid.'
UUENDA
20. märts 2017, kell 04:48Seda artiklit värskendati lisateabega avalikult kättesaadavaks tehtud andmete ja iga kirje IP -aadressi kohta.
PARANDUS
19. märts 2017, kell 18:42Saks Fifth Avenue klientide isikuandmed tehti avalikult kättesaadavaks. Selle artikli varasem versioon ütles, et probleem puudutas ka Giltit ja Lord & Taylorit, kahte teist ettevõtet, mis samuti kuuluvad Hudsoni laheettevõttele.