Carter's - Gigante de roupas para bebês também atingida por vazamento de dados

A loja de roupas de bebê Carter’s inadvertidamente expôs os dados pessoais de centenas de milhares de seus clientes, que datam de anos atrás, de acordo com uma nova divulgação.

O problema começou com o Linc, que é um fornecedor que a empresa usava para automatizar as compras online, de acordo com analistas da vpnMentor que descobriram o problema pela primeira vez. O sistema Linc estava entregando aos clientes URLs encurtados com a compra de Carter e detalhes de envio sem proteções básicas de segurança. Os links continham tudo, desde detalhes de compra a informações de rastreamento e muito mais.

“Além disso, ao modificar os URLs do Linc (para os quais os URLs encurtados estavam redirecionando), foi possível acessar os dados JSON de back-end, que revelaram ainda mais informações pessoais sobre os clientes que não foram expostas nas páginas de confirmação, como: Nomes completos endereços de entrega e números de telefone ”, explica o relatório.

Os analistas calcularam que mais de 410.000 registros e centenas de milhares de registros de clientes foram expostos no vazamento - que estimaram em 2015.

“Essas URLs encurtadas foram facilmente descobertos por hackers devido à falta de entropia suficiente ou protocolos de segurança de compensação”, escreveram os analistas do vpnMentor. “Carter também não colocou autenticação para verificar se apenas a pessoa que fez a compra poderia visitar a página de confirmação.”

Para agravar o risco, os pesquisadores descobriram que os links nunca expiravam, o que significa que os clientes que poderiam ter comprado na Carter's anos atrás ainda estavam potencialmente em perigo.