Vero Moda, Jack and Jones, En Çok Satanlar Sitesinin Hatası Kullanıcı Verilerini Riske Attı

0
18

Vero Moda, Jack and Jones, Only ve diğer Bestseller Hindistan web sitelerinde, kaydolmak için kullanılan hedef e-posta kimliğini bilen herkesin kullanıcı hesaplarını ele geçirmesine izin veren bir güvenlik açığı vardı. Bu da, kullanıcının teslimat adresleri, tam adı ve telefon numarası ve sitelerdeki kayıtlı krediler gibi bilgileri açığa çıkaracaktır. Bu bilgiler sizi endişelendirmese de, bu tür veriler aslında çok değerlidir ve bu tür bilgiler genellikle kimlik avı saldırılarında gerçek bir işi taklit etmek ve paranızı dolandırmak için kullanılır. Gadgets 360, güvenlik araştırmacısının bunu yaptıktan tam bir yıl sonra şirket ile sorunu gündeme getirdikten sonra, kusur nihayet giderildi, böylece müşterilerin verilerine artık erişilemez, ancak şirket, müşteri verilerinin ne kadar süredir risk altında olduğuna dair hiçbir ayrıntı paylaşmadı. .

Güvenlik araştırmacısı Sayaan Alam, Eylül 2019’da şirketin yöneticilerine bir mektup yazdı. O sırada Alam şirketin CEO’suna tweet attı ve bir e-posta göndermesi istendi. Alam daha sonra şirketin CEO’suna konuyla ilgili bir rapor gönderdi ve Vero Moda Hindistan’ın hesabından “bunu ilgili ekibe ilettiğini” belirten bir tweet aldı.

Gadgets 360 tarafından incelenen e-postalarda Alam, güvenlik testleri yaptığını ve Vero Moda, Jack ve Jones ve Only India için hesapların devralınmasına izin verebilecek bir hata bulduğunu açıkladı. Şirketin CTO’suna bağlanmak istedi.

Alam, bir yıldan uzun bir süre sonra, hata aktif kalırken şirketten daha fazla bilgi almadığını söyledi. Aralık ayında Alam, Gadgets 360 ile iletişime geçti ve gizli bir ayrıntı içeren sahte bir hesap oluşturarak, Alam’ın, kaydolmak için kullanılan e-posta kimliğinin farkında olması halinde bir hesabı gerçekten devralabileceğini teyit edebildik.

E-posta kimliklerinin ne kadar yaygın kullanıldığı göz önüne alındığında, birinin herhangi birinin e-posta kimliğini elde etmesi ve bu sayede bir kişinin ev adresi gibi güvenlik ve güvenliğini tehlikeye atacak diğer ayrıntıları elde etmesi zor olmayacaktır.

Gadgets 360 ile yapılan sohbetlerde Alam, “kullanıcı hesaplarını riske atabileceği için hata hala etkinken sorunu kamuya açıklamak istemediğini” açıkladı.

Hesap devralma hatasının yayında olup olmadığını test etmek için sahte bir hesap oluşturduk
Fotoğraf Kredisi: Screenshot

Gadgets 360 daha sonra şirkete ulaştı ve hızlı bir şekilde yanıt veren ve Alam’ın bulguları hakkında bilgi toplayan Baş Bilgi Sorumlusu Ranjan Sharma ile e-posta alışverişinde bulundu. Ayrıntıları aldıktan sonra Sharma “kontrol edeceğini” söyledi. Bir hafta sonra, güncellemeler istendiğinde Sharma, hatanın düzeltildiğini söyledi.

E-posta yoluyla “Öncelikle bunu bildirimimize getirdiğin için teşekkür ederim,” dedi. “Derin bir dalış yaptık ve sistemimizde bir sürüm sorunu bulduk ve bu nedenle, aynı gün düzelttiğimiz token değişimi gözden kaçıyordu. Ayrıca kayıtlı müşterilerimize ulaşmak için bir plan üzerinde çalışıyoruz. “

Bu noktada, siteyi kaç müşterinin kullandığı ve şirketin güvenlik araştırmacılarını rapor getirmeye teşvik edecek herhangi bir hata ödül programı olup olmadığı hakkında bilgi sorduk. Ancak Sharma, bundan sonra herhangi bir yanıt paylaşmadı ve herhangi bir kullanıcının bilgilendirilip bilgilendirilmediği belli değil – oluşturduğumuz test hesabı, sorunun şirkete açıklanmasından ve hatanın düzeltilmesinden üç ay sonra ihlal edilen bilgilerle ilgili herhangi bir güncelleme almadı.

Sharma ve Bestseller, Gadgets ile iletişime geçildiğinde hızlı bir şekilde yanıt verdi ve sorunu tartışıldıktan sonra çözdü, bu olumlu bir gelişme. Bununla birlikte, kullanıcılara iletişim eksikliği, kesinlikle geliştirilebilecek bir alandır.

Alam’ın gösterdiği gibi söz konusu hata oldukça basitti ve bu kusur nedeniyle herhangi bir sayıda kullanıcı verisinin tehlikeye atılmış olması mümkündür. Bununla birlikte, bu, güvenlik araştırmacılarının çevrimiçi sistemlerdeki zayıflıkları keşfetmekten aktif olarak cesaretlerinin kırıldığı Hindistan’da devam eden bir soruna paraleldir ve konu başka kaynaklardan kamuya açıklanmadıkça kullanıcılara nadiren sorunlar hakkında bilgi verilir.

WhatsApp’ın yeni gizlilik politikası, gizliliğinizin sonunu mu ifade ediyor? Bunu Gadgets 360 podcast’i Orbital’de tartıştık. Orbital, Apple Podcast’lerinde, Google Podcasts’te, Spotify’da ve podcast’lerinizi aldığınız her yerde kullanılabilir.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz