目录导航
据报道,Carter’s未能在商店的包裹跟踪页面上实施适当的身份验证协议,使数据和购物者暴露在欺诈之下。
VpnMentor 分析师报告称,由于该公司使用的自动在线购买软件 Linc 的安全性不足,美国婴儿服装零售商 Carter 暴露了其数十万客户的个人身份信息 (PII)。
Linc 系统在没有任何适当的安全保护的情况下提供了带有 Carter 购买和运输数据的缩短 URL。通过修改 Linc 生成的 URL,可以访问后端JSON 数据,显示更多客户详细信息,而确认页面并未公开这些信息,例如 Carter 客户的全名、电话号码和送货地址。
泄露数据包括的内容
- 全名
- 电子邮件地址
- 账单地址
- 城市
- 状态
- 邮政编码
- 国家代码
- 国家
- 电话号码
- 采购详情
- 运输跟踪 ID 和链接
超过410,000 条记录泄露
据悉,卡特的数据泄露事件已经暴露了超过41万条记录,其中包括可追溯到2015年的数十万条客户记录。
缩短的 URL 不仅容易被黑客发现,因为“缺乏足够的熵或补偿安全协议”。
Carter’s 没有设置身份验证来验证购买者是否访问了确认页面。研究人员还指出,这些链接不会过期。这意味着即使在几年前从 Carter’s 的在线商店购买的客户也将面临风险。
客户暴露于网络钓鱼诈骗、欺诈中
对于最近的订单,威胁行为者可以打电话给客户并讨论他们所做的购买,冒充快递人员或客户支持。他们可以与他们的目标建立融洽的关系,并在他们的犯罪计划中以他们为目标。
vpnMentor 研究人员在他们的报告中警告说:“对于仍在运送给客户的任何购买,黑客可以重定向交付并窃取它们,在线转售carter’s的任何被盗产品。”
vpnMentor 的团队于 3 月 17 日联系了 Carter’s。该公司要求他们通过其他渠道提交详细的分析报告。缩短的 URL 后来在 2021 年 4 月 4 日至 4 月 7 日之间的某个时间停用。
数据泄露详情
数据泄露摘要
| 公司 | 卡特公司-Carter’s, Inc. |
| 总部 | 美国乔治亚州亚特兰大 |
| 行业 | 婴儿和儿童服装 |
| 以千兆字节为单位的数据大小 | 未知 |
| 记录数 | 410,000+ |
| 暴露人数 | 100,000 人 |
| 日期范围/时间线 | 2015 年至今 |
| 地理范围 | 美国 |
| 暴露的数据类型 | 卡特产品的采购订单;客户 PII 数据 |
| 潜在影响 | 欺诈罪; 身份盗窃;网络钓鱼;企业间谍 |
| 数据暴露类型 | 缩短的网址 |
公司简介
Carter’s 是美国最大的婴幼儿服装营销商。该公司由威廉·卡特 (William Carter) 于 1865 年创立,现已发展成为一家全球性公司。
在美国,Carter’s 占所有婴儿服装销售额的 25%,而该公司每年的收入估计为 30 亿美元。
Linc (https://www.letslinc.com/) 是一个客户服务自动化平台,企业可以使用该平台来改善其网站上的客户体验。Linc 提供了一系列工具来提高客户参与度、促进销售并提高网站效率。
Carter’s 正在使用 Linc 创建缩短的 URL,用于在其在线商店中进行的旅行购买。
发现和所有者反应的时间表
- 发现日期: 2021 年 3 月 17 日
- 联系供应商的日期: 2021 年 3 月 22 日
- 第二次联系尝试的日期(如果相关): 2021 年 3 月 30 日
- 回复日期: 2021 年 3 月 30 日
- 行动日期: 2021 年 4 月 4 日至 7 日之间
有时,数据泄露的程度和数据的所有者是显而易见的,问题很快就会得到解决。但这些时候很少见。在我们了解什么是利害关系或谁在泄露数据之前,我们通常需要进行数天的调查。
了解漏洞及其潜在影响需要仔细的关注和时间。我们努力发布准确可靠的报告,确保每个阅读报告的人都了解其严重性。
一些受影响的各方否认事实,无视我们的研究或淡化其影响。因此,我们需要彻底, 并确保我们发现的一切都是正确和准确的。
在这种情况下,我们的团队使用专门的扫描软件来检测网站和数据库中的数据泄露和漏洞,发现了数据泄露。
我们很快将 Carter’s 确定为暴露和责任方,并与该公司联系以展示我们的调查结果。一开始,他们的安全团队不接受我们通过电子邮件披露的信息,而是要求我们在 Bugcrowd 上报告并在那里创建一个帐户。
我们再次直接向他们披露,收到了公司的回复如下:
“我们已经讨论了这个漏洞,我想告诉你我们所处的位置的最新情况。目前,我们想验证和评估对客户的影响。您能否向我们发送复制步骤和更多暴露的 PII 数据样本?一旦我收到你的更多信息,我们将在内部重新召开会议。”
我们与他们分享了漏洞的所有细节,他们必须与 Linc 进行讨论,后者是为他们提供包裹跟踪工具的第 3 方。与此同时, Carter’s 似乎停用了缩短的网址。此修改使先前在数据泄露中暴露的 URL 无法访问。我们希望他们为将来的 URL 创建实施了修复。
泄露数据示例
此次数据泄露是由于 Carter’s 在为其美国电子商务商店自动购买和交付时的疏忽所致。
每当有人在商店购物时,卡特都会向他们发送一个缩短的 URL,将他们重定向到购买确认页面。
但是,这个过程存在三个问题:
- 由于缺乏足够的熵或补偿安全协议,这些缩短的 URL 很容易被黑客发现。
- Carter’s 也没有设置身份验证来验证只有购买的人才能访问确认页面。
- Linc 提供的确认页面包含每个暴露人员的大量 PII 数据和财务信息。
- 链接永不过期。任何人都可以使用它们访问卡特网站上订单的数据,无论他们多大年纪。
我们在确认页面上查看的私人个人用户数据包括:
- 全名
- 物理地址
- 电子邮件地址
- 电话号码
- 运输跟踪 ID 和链接
- 为购买等支付的价格
每个订单确认还包含交易的详细信息:
- 订购商品明细
- 跟踪 ID
- 邮政编码
此外,通过修改 Linc URL(缩短的 URL 重定向到的 URL),可以访问后端 JSON 数据,这会显示更多关于确认页面未公开的客户个人信息,例如:
- 全名
- 完整的送货地址
- 电话号码
数据泄露影响
此次数据泄露可能对 Carter’s 的 100,000 名客户造成严重后果,其中许多人可能已经五年多没有与该公司互动了。
如果恶意黑客发现了公司 URL 缩短过程中的漏洞,他们可能会利用暴露的 PII 数据和采购订单来针对各种犯罪的个人。
使用存储在确认订单中的详细信息,黑客可以轻松创建冒充 Carter 的欺诈性网络钓鱼电子邮件,诱使客户提供其他信息,例如信用卡号或银行帐户信息。同时,黑客可以诱使受害者点击嵌入恶意软件、间谍软件或各种其他形式的病毒攻击的链接。
对于最近的订单,黑客可以简单地给 Carter 的客户打电话,讨论所购买的商品并伪装成快递员或客户支持,与目标建立融洽关系并陷入犯罪计划。
最后,对于仍在运送给客户的任何购买,黑客可以重定向交付并窃取它们,在线转售卡特的任何被盗产品。
对卡特的影响
通过让如此多的客户遭受欺诈和黑客攻击,Carter’s 也使自己容易受到罚款、法律诉讼和政府干预的影响。许多暴露的人是加州居民,这意味着数据泄露属于《加州消费者隐私法》的管辖范围。
因此,Carter’s 将需要遵循特定程序来报告违规行为并确保它不会再次发生。
除此之外,数据泄露可能会给公司带来相当大的负面影响,并导致许多客户流失。婴儿服装行业是一个竞争激烈的领域, Carter’s 的客户将有很多选择到别处购物。
专家建议
如果 Carter’s 采取了一些基本的安全措施来保护客户的数据,它本可以轻松避免这种泄漏。
公司应该使用更安全的 URL 缩短器解决方案,并认真考虑添加身份验证或其他措施,以确保只有数据的预期接收者才能访问它。
任何公司都可以复制相同的步骤,无论规模大小。
有关如何保护您的业务的更深入指南,请查看我们的指南,以保护您的网站和在线数据库免受黑客攻击。
对于卡特的客户
如果您曾在 Carter’s 商店在线购物并担心此违规行为可能对您造成的影响,请直接与该公司联系以确定它采取了哪些措施来保护您的数据。
要了解一般的数据漏洞,请阅读我们的在线隐私完整指南。
它向您展示了网络犯罪分子瞄准互联网用户的多种方式,以及您可以采取的确保安全的步骤。
我们如何以及为何能发现漏洞
vpnMentor 研究团队发现暴露的数据库是一个庞大的网络地图项目的一部分。我们的研究人员使用大型网络扫描仪来搜索包含不应公开信息的不安全数据存储。然后他们检查每个数据存储是否有任何数据泄露。
我们的团队能够访问这些数据,因为它完全不安全且未加密。
每当我们发现数据泄露时,我们都会使用专家技术来验证数据的所有者,通常是商业企业。
作为道德黑客,当我们发现他们的在线安全漏洞时,我们有义务通知他们。我们联系了 Carter,让他们了解漏洞并建议他们可以使系统安全的方法。
这些道德规范也意味着我们对公众负有责任。Carter 的客户必须意识到暴露了大量敏感数据的数据泄露。
这个网络地图项目的目的是帮助所有用户提高互联网的安全性。
我们绝不会出售、存储或公开我们在安全研究期间遇到的任何信息。