VpnMentor分析师报告说,美国婴儿服装零售商卡特(Carter)暴露了数十万客户的个人身份信息(PII),原因是该公司使用的自动在线购买软件Linc的安全性不足。
Carter's(卡特)于1865年建立,是美国第一童装品牌,也是全球婴童服装的领先品牌。在美国,几乎每一个新生儿都拥有10多件它的产品,其零售点遍布全美国200多家。卡特使用的Linc 系统在没有任何适当的安全保护的情况下,通过 Carter 的购买和运输数据交付了短链接。通过修改 Linc 生成的短链接,可以显示更多客户详细信息的后端JSON 数据,如 Carter 客户的全名、电话号码和送货地址等。
公开的数据包括以下内容:
全名
电子邮件地址
帐单地址
城市
州
邮编
国家代码
国家
电话号码
采购详情
航运跟踪ID和链接
据报道,卡特的数据泄露中已泄露了超过 41 万条记录,其中包括可追溯到 2015 年的数十万条客户记录。VpnMentor 指出,短链接不仅容易被黑客发现,因为"缺乏足够的安全协议"。
Carter 没有对用户进行身份验证,以验证购买者是否访问过确认页面。研究人员还指出,这些短链接不会过期。这意味着几年前从卡特在线商店购买的客户也将面临风险。
研究人员警告说,这种涉及 PII 的数据泄露使 Caster 的客户暴露在各种骗局中,例如网络罪犯可以利用这些数据发起网络钓鱼攻击,发送看似来自 Carter 的虚假电子邮件,并迫使受害者提供更敏感的数据,如信用卡信息等。
目前仍然有很多企业不愿意投入必要的资源来加强自身的安全防御,觉得自己不会被网络犯罪分子盯上,最后造成的经济损失巨大。超级科技作为信息安全解决方案专家,建议企业领导重视网络安全,防止不法分子乘虚而入。超级科技旗下拥有超级云(阿里云战略合作伙伴)、超级盾(App版)、超级盾(PC版)、超级盾(Web版)、高防IP、网络DLP、邮件DLP和高防服务器等一系列云+安全防御产品,希望能为企业云安全贡献应有的力量。