Vero Moda, Jack and Jones, Bug Situs Terlaris Membuat Data Pengguna Berisiko

Vero Moda, Jack and Jones, Bestseller Site


Vero Moda, Jack and Jones, Only, dan situs web Terlaris India lainnya memiliki kelemahan keamanan yang memungkinkan pembajakan akun pengguna oleh siapa saja yang mengetahui ID email target yang digunakan untuk mendaftar. Ini pada gilirannya akan mengungkap informasi seperti alamat pengiriman pengguna, nama lengkap dan nomor telepon mereka, dan semua kredit yang disimpan dengan situs. Meskipun informasi ini mungkin tidak membuat Anda khawatir, data tersebut sebenarnya sangat berharga, dan informasi tersebut juga sering digunakan dalam serangan phishing untuk menyamar sebagai bisnis nyata dan menipu uang Anda. Setelah Gadgets 360 mengangkat masalah dengan perusahaan – setahun penuh setelah peneliti keamanan melakukannya – cacat akhirnya diperbaiki, sehingga data pelanggan tidak lagi dapat diakses, tetapi perusahaan tidak membagikan detail tentang berapa lama data pelanggan berisiko. .

Peneliti keamanan Sayaan Alam menulis kepada para eksekutif perusahaan pada September 2019. Saat itu, Alam men-tweet ke CEO perusahaan dan diminta untuk mengirim email. Alam kemudian mengirimkan laporan masalah tersebut kepada CEO perusahaan, dan menerima a menciak sebagai tanggapan dari akun Vero Moda India, yang mengatakan telah “meneruskan ini ke tim terkait.”

Dalam email yang ditinjau oleh Gadgets 360, Alam menjelaskan bahwa dia telah melakukan pengujian keamanan dan menemukan bug yang memungkinkan pengambilalihan akun untuk Vero Moda, Jack and Jones, dan Only India. Dia minta dihubungkan dengan CTO perusahaan.

Lebih dari setahun kemudian, Alam mengatakan dia tidak menerima informasi lebih lanjut dari perusahaan, sementara bug tersebut tetap aktif. Pada bulan Desember, Alam menghubungi Gadgets 360, dan dengan membuat akun dummy dengan detail rahasia, kami dapat mengonfirmasi bahwa Alam sebenarnya dapat mengambil alih akun jika dia mengetahui ID email yang digunakan untuk mendaftar.

Mengingat seberapa luas ID email digunakan, tidak akan sulit bagi seseorang untuk mendapatkan ID email siapa pun, dan melalui ini, dapatkan detail lain seperti alamat rumah seseorang, yang membahayakan keselamatan dan keamanan mereka.

Dalam obrolan dengan Gadgets 360, Alam menjelaskan bahwa dia “tidak ingin mempublikasikan masalah saat bug masih aktif, karena hal itu dapat membahayakan akun pengguna”.

Kami membuat akun tiruan untuk menguji apakah bug pengambilalihan akun itu hidup
Kredit Foto: Tangkapan Layar

Gadgets 360 kemudian menghubungi perusahaan, dan bertukar email dengan Chief Information Officer Ranjan Sharma yang menanggapi dengan cepat dan mengumpulkan informasi tentang temuan Alam. Setelah mendapatkan detailnya, Sharma menjawab bahwa dia akan “memeriksa”. Seminggu kemudian, ketika dimintai pembaruan, Sharma menjawab bahwa bug telah diperbaiki.

“Pertama-tama izinkan saya berterima kasih karena telah memberitahukan hal ini kepada kami,” katanya melalui email. “Kami menyelami lebih dalam dan menemukan masalah versi dengan sistem kami dan karenanya pertukaran token tidak terjawab yang kami perbaiki pada hari yang sama. Kami juga sedang mengerjakan rencana untuk menjangkau pelanggan terdaftar kami. “

Pada titik ini, kami meminta informasi tentang berapa banyak pelanggan yang menggunakan situs ini, dan apakah perusahaan memiliki program bug bounty untuk mendorong peneliti keamanan agar memberikan laporan. Namun, Sharma tidak membagikan tanggapan apa pun setelah itu dan tidak jelas apakah ada pengguna yang diberi tahu – akun uji yang kami buat tidak menerima pembaruan apa pun tentang informasinya yang dilanggar – tiga bulan setelah masalah tersebut diungkapkan kepada perusahaan dan bug diperbaiki.

Sharma dan Buku Terlaris merespons dengan cepat ketika dihubungi oleh Gadget dan menyelesaikan masalah setelah dibahas, yang merupakan perkembangan positif. Namun, kurangnya komunikasi dengan pengguna merupakan salah satu hal yang tentunya dapat ditingkatkan.

Bug yang dipermasalahkan, seperti yang ditunjukkan oleh Alam, cukup sederhana, dan ada kemungkinan bahwa sejumlah data pengguna dapat dikompromikan oleh kekurangan ini. Namun, hal ini sejalan dengan masalah yang terus berlanjut di India, di mana peneliti keamanan secara aktif tidak disarankan untuk mengeksplorasi kelemahan dalam sistem online – dan pengguna jarang, jika pernah, diberitahu tentang masalah kecuali masalah tersebut dipublikasikan dari sumber lain.


Apakah kebijakan privasi baru WhatsApp mengakhiri privasi Anda? Kami membahas ini di Orbital, podcast Gadget 360. Orbital tersedia di Apple Podcasts, Google Podcasts, Spotify, dan di mana pun Anda mendapatkan podcast.


Di Buat dan Disajikan Oleh : HK Pools