Cyberthreat.id - Jaringan ritel pakaian bayi Carter secara tidak sengaja mengekspos data pribadi dari ratusan ribu pelanggannya, sejak beberapa tahun yang lalu, menurut pengungkapan baru.

Analisis oleh vpnMentor menemukan masalah awalnya terjadi pada Linc, vendor yang digunakan perusahaan untuk mengotomatiskan pembelian online.

Sistem Linc mengirimkan URL yang dipersingkat kepada pelanggan dengan detail pembelian dan pengiriman Carter tanpa perlindungan keamanan dasar. Tautan berisi segalanya mulai dari detail pembelian hingga informasi pelacakan dan banyak lagi.

“Selanjutnya, dengan memodifikasi URL Linc (ke mana URL yang dipersingkat dialihkan), dimungkinkan untuk mengakses data JSON backend, yang mengungkapkan lebih banyak informasi pribadi tentang pelanggan yang tidak terekspos oleh halaman konfirmasi, seperti: Nama lengkap alamat pengiriman dan nomor telepon,” ungkap vpnMentor seperti dilaporkan Threatpost.com, Jumat (11 Juni 2021).

Analis menghitung bahwa lebih dari 410.000 catatan, dan ratusan ribu catatan pelanggan, terungkap dalam kebocoran - yang mereka perkirakan berasal dari tahun 2015.

“URL yang dipersingkat itu mudah ditemukan oleh peretas karena kurangnya entropi yang memadai atau protokol keamanan kompensasi,” tulis analis vpnMentor.

"Carter juga tidak menerapkan otentikasi untuk memverifikasi bahwa hanya orang yang melakukan pembelian yang dapat mengunjungi halaman konfirmasi," tambah vpnMentor.

Para peneliti menemukan bahwa tautan juga tidak pernah kedaluwarsa, yang berarti pelanggan yang mungkin telah membeli dari Carter bertahun-tahun yang lalu masih berpotensi dalam bahaya.

Jenis data pelanggan terperinci ini dapat digunakan oleh pelaku ancaman dalam upaya  penipuan phishing yang memungkinkan pelaku mengaku berasal dari Carter, lalu menipu korban agar memberikan data yang lebih sensitif, seperti informasi kartu kredit.

“Untuk pesanan yang lebih baru, peretas dapat dengan mudah menelepon pelanggan Carter untuk mendiskusikan pembelian yang dilakukan dan menyamar sebagai kurir atau dukungan pelanggan, membangun hubungan baik dengan target dan menjeratnya dalam skema kriminal,” para peneliti vpnMentor memperingatkan.

“Akhirnya, untuk pembelian apa pun yang masih dalam perjalanan ke pelanggan, peretas dapat mengalihkan pengiriman dan mencurinya, menjual kembali produk curian Carter secara online.”

Ketika tim menghubungi Carter pada 17 Maret dengan rincian pelanggaran, mereka diberitahu untuk mengirimkan laporan melalui saluran lain, bukan langsung ke perusahaan. Akhirnya URL yang dipersingkat dinonaktifkan, menurut laporan vpnMentor, antara 4 dan 7 April.

Carter, yang menyumbang 25 persen dari total pasar pakaian bayi senilai US$ 3 miliar, tidak dapat dihubungi untuk dimintai komentar. Linc, vendor yang diidentifikasi mengirimkan URL singkat yang tidak dilindungi, juga tidak menanggapi permintaan komentar dari Threatpost.

Carter bergabung dengan merek ritel besar lainnya seperti Hobby Lobby dan Kmart, yang telah dipaksa untuk bergulat dengan pelanggaran data skala besar.

Peneliti vpnMentor menyarankan agar pelanggan Carters yang khawatir data mereka mungkin menjadi bagian dari pelanggaran, harus menghubungi perusahaan secara langsung untuk mendapatkan jawaban.[]