Vero Moda, Jack and Jones, los errores de sitios más vendidos ponen en riesgo los datos del usuario

Vero Moda, Jack and Jones, los errores de sitios más vendidos ponen en riesgo los datos del usuario


Vero Moda, Jack and Jones, Keval y otros sitios web más vendidos de la India tenían una error de seguridad que permitía que las cuentas de legatario fueran secuestradas por cierto que solo conocía la ID de correo electrónico utilizada para registrarse. Esto, a su vez, revelará información como la dirección de entrega del legatario, su nombre completo y número de teléfono, y cualquier crédito guardado en los sitios. Aunque es posible que esta información no le concierna, dichos datos son en ingenuidad muy valiosos, y dicha información se utiliza a menudo en ataques de phishing para hacer cumplir un negocio positivo y sacarle su parné. Gadgets 360 abordó el problema con la empresa, un año completo luego del investigador de seguridad, el defecto finalmente se solucionó, por lo que los datos del cliente ya no son accesibles, pero la empresa no ha compartido ningún detalle sobre si los datos del cliente peligro.

El investigador de seguridad Sayan Alam escribió a los funcionarios de la empresa en septiembre de 2019. En ese momento, Alam tuiteó al director ejecutante de la empresa y se le pidió que enviara un correo electrónico. Alam luego envió un mensaje del problema al director ejecutante de la empresa y recibió uno. Pío En respuesta a un relato de Vero Moda India, que indica que ha sido «remitido al equipo en cuestión».

En un correo electrónico revisado por Gadgets 360, Alam declaró que estaba realizando una prueba de seguridad y encontró un error que podría permitir la adquisición de cuentas para Vero Moda, Jack and Jones y Only India. Pidió estar asociado con el CTO de la empresa.

Más de un año luego, Alam dijo que no había recibido más información de la compañía mientras el error permanecía activo. En diciembre, Alam se puso en contacto con Gadgets 360 y, al crear una cuenta ficticia con una información secreta, pudimos confirmar que Alam positivamente podría manejar una cuenta si supiera de una ID de correo electrónico.

Regalado el uso generalizado de las ID de correo electrónico, no será difícil para nadie obtener la ID de correo electrónico de cierto y luego, a través de ella, obtener otros detalles como la dirección de la casa de una persona, su seguridad y seguridad de compromiso.

En una conversación con Gadgets 360, Alam declaró que «no quería hacer notorio el problema mientras el error aún estaba activo, ya que podría poner en peligro las cuentas de los usuarios».

Creamos una cuenta ficticia para probar si el error de adquisición de cuenta estaba activo
Foto cortesía: captura de pantalla

Luego, Gadgets 360 se acercó a la compañía e intercambió correos electrónicos con su director de información, Ranjan Sharma, quien respondió rápidamente y recopiló información sobre los hallazgos de Alam. Posteriormente de obtener los detalles, Sharma dijo que «investigaría». Una semana luego, cuando se le preguntó por la aggiornamento, Sharma dijo que el error se había solucionado.

«En primer área, gracias por informarme sobre esto», dijo por correo electrónico. “Hicimos una inmersión profunda y lanzamos una lectura con nuestro sistema, por lo que nos perdimos el intercambio de tokens que establecimos el mismo día. Incluso estamos trabajando en un plan para venir a nuestros clientes registrados. «

En este punto, solicitamos información sobre cuántos sitios usan los clientes y si la empresa tiene un software de recompensas por errores que aliente a los investigadores de seguridad a presentar informes. Sin bloqueo, Sharma no compartió ningún comentario luego de esto y no está claro si se notificó a algún legatario (no se recibió ninguna aggiornamento sobre la violación de la información en la cuenta de prueba que habíamos creado) emitida por la compañía Tres meses luego de que se hizo y el error reparado.

Cuando fueron contactados por los dispositivos, Sharma y el bestseller respondieron de inmediato y resolvieron el problema una vez discutido, lo cual es un avance positivo. Sin bloqueo, la descuido de comunicación con los usuarios es un campo de acción que definitivamente se puede mejorar.

El error en cuestión, como lo demostró Alam, era asaz simple y es posible que los datos del legatario se hayan manido comprometidos por este error. Sin bloqueo, esto corresponde a un problema persistente en India, donde los investigadores de seguridad están activamente desanimados para descubrir vulnerabilidades en los sistemas en trayecto, y los usuarios rara vez, o nunca, informan de problemas, hasta que el asunto se hace notorio desde otras fuentes.


¿La nueva política de privacidad de WhatsApp pone fin a su privacidad? Hablamos de esto en la clase Gadgets 360 Podcast. Adecuado en Orbital es Apple Podcast, Google Podcast, Spotify y dondequiera que encuentre su podcast.





Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

error: El contenido está protegido !!