Saks Fifth Avenue razotkrio je osobne podatke o desecima tisuća kupaca

AP/Mark Lennihan

Osobni podaci desetaka tisuća kupaca Saks Fifth Avenue javno su dostupni u običnom tekstu na internetu, doznaje BuzzFeed News.

Web mjesto za kupnju robne marke na mreži održava digitalna podjela njezina vlasnika, kanadska Hudson's Bay Company. Donedavno su nešifrirane, javno dostupne web stranice na web mjestu sadržavale desetke tisuća zapisa o korisnicima koji su se na liste čekanja prijavili za kupnju proizvoda.



Evidencija uključuje adrese e -pošte i kodove proizvoda za stavke koje su kupci izrazili interes za kupnju; neki su sadržavali i telefonske brojeve. Svaki je zapis također sadržavao datum i vrijeme te jednu od nekolicine ponavljajućih IP adresa.

Stranice koje je BuzzFeed News pregledao posljednjih dana, isključene su nakon kontaktiranja HBC -a radi komentara na ovu priču. Web stranica Saks također služi prijavljenim korisnicima neke stranice putem nešifriranih veza, ostavljajući podatke internetskih kupaca ranjivima na hakere dok pregledavaju stranicu na otvorenoj Wifi mreži.

'Ovo je jednako loše koliko i sigurnost', rekao je Robert Graham, stručnjak za kibernetičku sigurnost i vlasnik Errata Security, za BuzzFeed News. Svi su ranjivi.



'Ovo pitanje shvaćamo ozbiljno', rekao je glasnogovornik tvrtke Hudson Bay Company za BuzzFeed News. 'Želimo uvjeriti naše klijente da nikada nisu otkriveni nikakvi podaci o kreditu, plaćanju ili zaporci. Sigurnost naših klijenata je od najvećeg prioriteta i brzo i agresivno krećemo u rješavanje situacije koja je ograničena na nizak jednoznamenkasti postotak adresa e-pošte. Riješili smo sve probleme vezane uz telefonske brojeve kupaca, što je bio čak manji postotak. '

Evo redigiranog snimka zaslona vrste informacija koje su bile javno dostupne

Nije jasno zašto su informacije bile javno dostupne na internetu. No, glasnogovornik tvrtke Hudson Bay Company izjavio je za BuzzFeed News da ima 'timove posvećene sigurnosti podataka naših kupaca i slijede najbolje industrijske prakse za sigurnost informacija.'

Kanadski trgovac na malo najstariji je stalno poslujući posao u Sjevernoj Americi, a korijeni datiraju od trgovca krznom osnovanog 1670. Tvrtka je trenutno u potrazi za velikom novom akvizicijom američke robne kuće te je vodila razgovore o preuzimanju s obje tvrtke Neiman Marcus i Macy's, New York Times izvijestio prošli tjedan .



Jedna javno dostupna stranica koju pregledavaju BuzzFeed News uključuje brojne Gmail, AOL i Hotmail adrese, zajedno s poslovnim računima e-pošte s JPMorgan-a, Charter Communications-a i vladinih adresa. Oni su često bili upareni s telefonskim brojevima koje je ostavio kupac.

Graham, stručnjak za kibernetičku sigurnost koji je pregledao neke od ranjivosti nakon što ih je kontaktirao BuzzFeed News, rekao je da bi mogli izložiti ljude daljnjim sigurnosnim glavoboljama.

'Gdje ima dima, ima i vatre', rekao je. 'Vjerojatno postoji način za dobivanje podataka o zaporci, no morali biste tražiti dalje.'



Mrežne web stranice za kupnju također koriste mješavinu sigurnih i nesigurnih stranica, što može predstavljati još jednu ranjivost za kupce.

Na početnoj stranici Saks Fifth Avenue, na traci web stranice pojavljuje se mala obavijest koja upozorava korisnike da veza nije sigurna. Čak i kad je kupac prijavljen na svoj račun, brojne druge stranice web -lokacije ne zahtijevaju sigurno pregledavanje, što korisnik može provjeriti kada se https pojavi ispred URL -a.

Dodirnite za reprodukciju ili pauziranje GIF -a Dodirnite za reprodukciju ili pauziranje GIF -a SaksFifthAvenue.com / Via saksfifthavenue.com

Graham je rekao da ova kombinacija sigurnih i nesigurnih stranica može ostaviti kupca ranjivim prilikom pregledavanja na otvorenoj WiFi mreži, što se obično nalazi u kafićima i na drugim javnim mjestima.

Haker koji koristi istu bežičnu mrežu kao i internetski kupac Saksa mogao bi u nekim okolnostima prisluškivati ​​njihovu vezu, presresti podatke koji bi im mogli omogućiti da se ubuduće prijavljuju u sustav kao kupac, kupuju i prikupljaju osobne podatke.

'Rješenje je da se svaka web stranica šifrira, a ne samo prijava', rekao je Graham. 'Sve bi trebale biti https veze.'

AŽURIRANJE

20. ožujka 2017. u 04:48 sati

Ovaj je članak ažuriran s više informacija o podacima koji su javno dostupni, te pojedinostima IP adrese uključenim u svaki zapis.

ISPRAVKA

19. ožujka 2017. u 18:42

Osobni podaci za korisnike Saks Fifth Avenue bili su javno dostupni. U ranijoj verziji ovog članka navodi se da je problem utjecao i na Gilt i Lord & Taylor, dvije druge tvrtke koje su također u vlasništvu Hudson's Bay Company.