Zales.com hat Kundendaten durchgesickert, genau wie die Schwesterfirmen Jared, Kay Jewelers im Jahr 2018 – Krebs on Security
[ad_1]
Im zwölfter Monat des Jahres 2018 bling Verkäufer Siegel Juweliere eine Schwäche in ihrem behoben Kay Juweliere und Jared Websites, die die Bestellinformationen z. Hd. jeglicher ihre Online-Kunden offengelegt nach sich ziehen. Jene Woche, Signet-Tochtergesellschaft Zales.com aktualisierte seine Website, um eine nahezu identische Gefährdung von Kundendaten zu beheben.
Letzte Woche hörte KrebsOnSecurity von einem Leser, dieser Zales.com durchstöberte und plötzlich feststellte, dass er sich die Bestellinformationen einer anderen Person uff dieser Website ansah, einschließlich Name, Rechnungsadresse, Lieferadresse, Telefonnummer, E-Mail-Dienst-Note, Geschlechtswort und Gesamtkaufbetrag , Liefertermin, Tracking-Link und die letzten vier Ziffern dieser Kreditkartennummer des Kunden.
Die Leserin bemerkte, dass dieser Link zu den Bestellinformationen, droben die sie gestolpert war, eine lange Zeit Zahlenkombination enthielt, die – wenn sie geändert wurde – die Bestellinformationen eines anderen Kunden erzeugen würde.
Qua dieser Leser keine sofortige Entgegnung von Signet erhielt, kontaktierte KrebsOnSecurity dasjenige Unternehmen. In einer schriftlichen Entgegnung sagte Signet: „Ein IT-Sachkundiger hat uns uff ein Bevorstehen fürsorglich gemacht. Wir nach sich ziehen dasjenige Problem schnell behoben und im Zusammenhang dieser Inspektion keinen Vergewaltigung oder negative Auswirkungen uff Systeme oder Kundendaten festgestellt.“
Ihre Sinngehalt geht weiter:
„Qua Geschäftsprinzip spendieren wir dem Sicherheit von Verbraucherinformationen höchste Priorität und initiieren proaktiv unabhängige und branchenführende Sicherheitstests. Indem übertreffen wir die Branchen-Benchmarks in Bezug uff den Datenschutz-Reifegrad. Wir freuen uns immer, wenn sich Verbraucher mit Feedback an uns wenden und nach sich ziehen uns verpflichtet, unsrige Bemühungen um den Datenschutz weiter voranzutreiben.“
Qua Signet im Jahr 2018 ähnliche Schwachstellen mit seinen Jared- und Kay-Websites behob, sagte dieser Leser, dieser sie Datenexponierung entdeckte und berichtete, dass er sich schnell uff die verschiedenen Möglichkeiten konzentrierte, wie Gauner den Zugriff uff Kundenbestellinformationen ausnutzen könnten.
„Mein erster Gedanke war, dass sie ein Schmuckpaket solange bis zur Tür von jemandem verfolgen und es von dieser Türschwelle streichen könnten“, sagte Brandon Sheehy, einem in Dallas ansässigen Webentwickler. „Mein zweiter Gedanke war, dass der gerne Süßigkeiten isst Jareds Kunden anrufen und so tun könnte, qua wäre er Jared, während er die letzten vier Ziffern dieser Kundenkarte liest und sagt, dass es ein Problem mit dieser Bodenbestellung gegeben hat konnte es sofort konkretisieren und die Bodenbestellung schnell konkretisieren. Dies wäre ein ziemlich überzeugender Betrug. Oder wie am Schnürchen nur gezielte Phishing-Angriffe.“
Im Großen und Ganzen vieler anderer, weitaus schrecklicherer Sachen, die derzeit in dieser Informationssicherheit vorbeigehen, ist sie Offenlegung von Kundendaten von Zales kleine Kartoffeln. Und sie Genre dieser Datenexponierung ist heute unglaublich verbreitet: KrebsOnSecurity könnte wahrscheinlich mehrere Monate weit täglich eine Story laufen lassen, nur basierend uff Beispielen, die ich an Dutzenden anderen Online-Orten gesehen habe.
Hinwieder ich denke, ein Hauptgrund zu diesem Zweck, dass Unternehmen weiterhin sie leichtgewichtig vermeidbaren Fehler mit ihren Kundendaten zeugen, ist meiner Meinung nachher, dass es z. Hd. Unternehmen, die nicht mehr checken, kaum wirkliche Konsequenzen hat. In dieser Zwischenzeit können die Information ihrer Kunden von jedem oder allem, dieser im Weiteren sucht, aufgesaugt werden.
„Qua Web-Entwickler kann ich dasjenige nur uff völlige Untauglichkeit zurückführen und bin sehr faulig und gleichgültig im Unterschied zu den Information Ihrer Kunden“, sagte Sheehy. „Dies ist kein neues Zeug, sondern grundlegende Website-Sicherheit.“