En décembre 2018, vendeur bling Signet Joailliers corrigé une faiblesse dans leur Kay Bijoutiers et Jared sites Web qui exposaient les informations de commande pour tous leurs clients en ligne. Cette semaine, la filiale Signet Zales.com a mis à jour son site Web pour remédier à une exposition presque identique des données client.
La semaine dernière, BreachTrace a entendu un lecteur qui naviguait sur Zales.com et a soudainement découvert qu’il regardait les informations de commande de quelqu’un d’autre sur le site Web, y compris son nom, son adresse de facturation, son adresse de livraison, son numéro de téléphone, son adresse e-mail, les articles et le montant total acheté. , la date de livraison, le lien de suivi et les quatre derniers chiffres du numéro de carte de crédit du client.
La lectrice a remarqué que le lien vers les informations de commande sur lesquelles elle était tombée comprenait une longue combinaison numérique qui, une fois modifiée, produisait encore les informations de commande d’un autre client.
Lorsque le lecteur n’a pas obtenu de réponse immédiate de Signet, BreachTrace a contacté l’entreprise. Dans une réponse écrite, Signet a déclaré : « Une préoccupation a été portée à notre attention par un professionnel de l’informatique. Nous l’avons résolu rapidement et, après examen, nous n’avons trouvé aucune utilisation abusive ou impact négatif sur les systèmes ou les données client.
Leur déclaration continue :
« En tant que principe commercial, nous faisons de la protection des informations des consommateurs la priorité absolue et nous lançons de manière proactive des tests de sécurité indépendants et à la pointe de l’industrie. En conséquence, nous dépassons les références du secteur en matière de maturité de la protection des données. Nous apprécions toujours que les consommateurs nous fassent part de leurs commentaires et nous nous sommes engagés à poursuivre nos efforts sur la maturité de la protection des données. »
Lorsque Signet a corrigé des faiblesses similaires avec ses sites Web Jared et Kay en 2018, le lecteur qui a découvert et signalé cette exposition aux données a déclaré que son esprit s’est rapidement tourné vers les différentes façons dont les escrocs pourraient exploiter l’accès aux informations sur les commandes des clients.
« Ma première pensée a été qu’ils pouvaient suivre un paquet de bijoux jusqu’à la porte de quelqu’un et le glisser à sa porte », a déclaré Brandon Sheey, un développeur Web basé à Dallas. « Ma deuxième pensée était que quelqu’un pourrait appeler les clients de Jared et se faire passer pour Jared, en lisant les quatre derniers chiffres de la carte du client et en disant qu’il y avait eu un problème avec la commande, et s’ils pouvaient obtenir une carte différente pour le client, ils pourrait l’exécuter tout de suite et passer la commande rapidement. Ce serait une arnaque assez convaincante. Ou simplement des attaques de phishing ciblées.
Dans le grand schéma de beaucoup d’autres choses bien plus horribles qui se passent actuellement dans le domaine de la sécurité de l’information, cette exposition des données des clients de Zales est une petite pomme de terre. Et ce type d’exposition de données est incroyablement courant aujourd’hui : BreachTrace pourrait probablement publier une histoire chaque jour pendant plusieurs mois, simplement sur la base d’exemples que j’ai vus dans des dizaines d’autres endroits en ligne.
Mais je pense que l’une des principales raisons pour lesquelles nous continuons à voir des entreprises commettre ces erreurs facilement évitables avec leurs données clients est qu’il n’y a pratiquement jamais de conséquences réelles pour les organisations qui ne font pas plus attention. Pendant ce temps, les données de leurs clients sont libres d’être récupérées par quiconque ou quoi que ce soit qui se soucie de les rechercher.
« En tant que développeur Web, la seule chose à laquelle je peux attribuer cela est une incompétence totale, et être très paresseux et indifférent aux données de vos clients », a déclaré Sheehy. « Ce n’est pas une nouveauté, c’est la sécurité de base du site Web. »