La société mère des détaillants bling Jared et Kay Bijoutiers a corrigé un bogue dans les sites Web des deux sociétés qui exposait les informations de commande pour tous leurs clients en ligne.
À la mi-novembre 2018, BreachTrace a entendu un client Jared qui a trouvé quelque chose de curieux après avoir reçu un reçu par e-mail pour une paire de boucles d’oreilles qu’il venait d’acheter comme cadeau surprise pour sa petite amie.
Développeur Web basé à Dallas Brandon Sheey a découvert qu’en modifiant légèrement le lien dans l’e-mail de confirmation qu’il a reçu et en le collant dans un navigateur Web, la commande d’un autre client a été révélée, y compris son nom, son adresse de facturation, son adresse de livraison, son numéro de téléphone, son adresse e-mail, les articles et le montant total acheté, la date de livraison, le suivi lien, et les quatre derniers chiffres du numéro de carte de crédit du client.
Sheehy a déclaré qu’après avoir découvert la faiblesse, son esprit s’est rapidement tourné vers les différentes façons dont les escrocs pourraient l’exploiter.
« Ma première pensée a été qu’ils pourraient suivre un paquet de bijoux jusqu’à la porte de quelqu’un et le glisser sur le pas de leur porte », a-t-il déclaré. « Ma deuxième pensée était que quelqu’un pourrait appeler les clients de Jared et se faire passer pour Jared, en lisant les quatre derniers chiffres de la carte du client et en disant qu’il y avait eu un problème avec la commande, et s’ils pouvaient obtenir une carte différente pour le client, ils pourrait l’exécuter tout de suite et passer la commande rapidement. Ce serait une arnaque assez convaincante. Ou simplement des attaques de phishing ciblées.
Inquiet que ses propres informations soient exposées de la même manière, Sheehy a contacté la société mère de Jared Signet Joailliers et leur a demandé de corriger l’exposition des données. Lorsque plusieurs semaines se sont écoulées et que Sheehy pouvait toujours voir ses informations et celles des autres clients de Jared, il a contacté BreachTrace.
Scott Lancaster, responsable de la sécurité de l’information chez Signet, a déclaré que la société avait résolu le problème pour toutes les commandes futures peu de temps après avoir reçu la plainte d’un client. Mais Lancaster a déclaré que Signet avait négligé de remédier à l’exposition des données pour toutes les commandes passées jusqu’à ce qu’il soit contacté par BreachTrace.
« Lorsqu’un client a porté ce problème à notre attention début novembre, nous l’avons résolu pour toutes les nouvelles commandes à venir », a déclaré Lancaster. « Mais nous n’avions pas remarqué à l’époque que cela s’appliquait à toutes les commandes passées ainsi qu’aux commandes futures. »
Lancaster a déclaré que le problème n’affectait que les commandes passées en ligne via jared.com et kay.com, et que la faiblesse n’était pas présente sur les sites des autres marques de bijoux de l’entreprise, telles que Zales et Pagode perçante.
Les expositions de données comme celles-ci sont parmi les plus courantes mais évitables pour les détaillants en ligne. En juillet, service de protection contre l’usurpation d’identité LifeLock corrigé une faille de divulgation d’informations qui exposait l’adresse e-mail de millions d’abonnés. Et en avril 2018, PaneraBread.com a remédié à une faiblesse en exposant des millions de noms de clients, d’adresses e-mail et physiques, d’anniversaires et de numéros de carte de crédit partiels.
Sheehy a déclaré qu’il était heureux que Signet ait entièrement corrigé le bogue, mais a déclaré qu’il était ennuyé qu’il semble que de nombreuses entreprises ne parviennent pas à résoudre ou même à reconnaître de tels échecs à moins et jusqu’à ce qu’elles soient confrontées aux médias.
« En tant que développeur Web, la seule chose à laquelle je peux attribuer cela est une incompétence totale, et être très paresseux et indifférent aux données de vos clients », a-t-il déclaré. « Ce n’est pas une nouveauté, c’est la sécurité de base du site Web. »
11 décembre, 10h37 : Correction du titre de Sheehy.