فيرو مودا ، جاك وجونز ، خطأ الموقع الأكثر مبيعًا تعرض بيانات المستخدم للخطر

أخبار ذات صلة

كان لدى Vero Moda و Jack and Jones و Only والمواقع الإلكترونية الأكثر مبيعًا في الهند ثغرة أمنية سمحت باختطاف حسابات المستخدمين من قبل أي شخص يعرف ببساطة معرف البريد الإلكتروني للأهداف المستخدم للتسجيل. سيؤدي هذا بدوره إلى الكشف عن معلومات مثل عناوين التسليم الخاصة بالمستخدم واسمه الكامل ورقم هاتفه وأي أرصدة محفوظة في المواقع. على الرغم من أن هذه المعلومات قد لا تقلقك ، إلا أن هذه البيانات ذات قيمة عالية في الواقع ، وغالبًا ما تُستخدم هذه المعلومات في هجمات التصيد الاحتيالي لانتحال شخصية شركة حقيقية وخداعك من أموالك. بعد أن أثارت Gadgets 360 المشكلة مع الشركة – بعد عام كامل من قيام الباحث الأمني بذلك – تم إصلاح الخلل أخيرًا ، لذلك لم يعد الوصول إلى بيانات العملاء متاحًا ، لكن الشركة لم تشارك أي تفاصيل حول المدة التي كانت بيانات العميل فيها معرضة للخطر .

كتب الباحث الأمني سايان علم إلى المديرين التنفيذيين للشركة في سبتمبر 2019. في ذلك الوقت ، قام عالم بالتغريد إلى الرئيس التنفيذي للشركة وطُلب منه إرسال بريد إلكتروني. ثم أرسل علم تقريراً بالمسألة إلى الرئيس التنفيذي للشركة ، واستلم أ سقسقة ردًا على حساب Vero Moda India ، الذي قال إنه “أرسل هذا إلى الفريق المعني”.

في رسائل البريد الإلكتروني التي استعرضها Gadgets 360 ، أوضح علام أنه كان يجري اختبارًا أمنيًا ووجد خطأً قد يسمح بالاستيلاء على حسابات Vero Moda و Jack and Jones و Only India. طلب أن يكون متصلاً بمدير التكنولوجيا في الشركة.

بعد أكثر من عام ، قال علم إنه لم يتلق أي معلومات أخرى من الشركة ، بينما ظل الخطأ نشطًا. في كانون الأول (ديسمبر) ، اتصل عالم بـ Gadgets 360 ، ومن خلال إنشاء حساب وهمي بتفاصيل سرية ، تمكنا من تأكيد أن Alam يمكنه بالفعل تولي حساب إذا كان على علم بمعرف البريد الإلكتروني المستخدم في التسجيل.

نظرًا لمدى استخدام معرفات البريد الإلكتروني على نطاق واسع ، فلن يكون من الصعب على شخص ما الحصول على معرف البريد الإلكتروني لأي شخص ، ومن ثم الحصول على تفاصيل أخرى مثل عنوان منزل الشخص ، مما يعرض سلامته وأمنه للخطر.

في الدردشات مع Gadgets 360 ، أوضح علام أنه “لم يرغب في نشر المشكلة على الملأ بينما كان الخطأ لا يزال نشطًا ، لأن ذلك قد يعرض حسابات المستخدمين للخطر”.

الأكثر مبيعًا لقطة شاشة 800 الأكثر مبيعًا

أنشأنا حسابًا وهميًا لاختبار ما إذا كان خطأ الاستيلاء على الحساب مباشرًا أم لا
مصدر الصورة: لقطة شاشة

تواصلت Gadgets 360 بعد ذلك مع الشركة ، وتبادلت رسائل البريد الإلكتروني مع مدير المعلومات رانجان شارما الذي استجاب بسرعة وجمع المعلومات حول نتائج علم. بعد الحصول على التفاصيل ، رد شارما بأنه سوف “يتحقق”. بعد أسبوع ، عندما سئل شارما عن التحديثات ، ردت بأن الخطأ قد تم إصلاحه.

قال عبر البريد الإلكتروني: “بادئ ذي بدء ، اسمحوا لي أن أشكركم على إبلاغنا بهذا الأمر”. “لقد أجرينا بحثًا عميقًا ووجدنا مشكلة في الإصدار مع نظامنا ، وبالتالي فقد تم تفويت تبادل الرموز وهو ما تم إصلاحه في نفس اليوم. نحن نعمل أيضًا على خطة للوصول إلى عملائنا المسجلين “.

في هذه المرحلة ، طلبنا معلومات حول عدد العملاء الذين يستخدمون الموقع ، وما إذا كانت الشركة لديها أي برنامج مكافأة للأخطاء لتشجيع الباحثين الأمنيين على تقديم التقارير. ومع ذلك ، لم تشارك Sharma أي ردود بعد ذلك وليس من الواضح ما إذا كان قد تم إبلاغ أي مستخدمين – لم يتلق حساب الاختبار الذي أنشأناه أي تحديثات حول معلوماته التي تم اختراقها – بعد ثلاثة أشهر من الكشف عن المشكلة للشركة وإصلاح الخطأ.

استجابت Sharma و Bestseller بسرعة عند الاتصال بـ Gadgets وحل المشكلة بمجرد مناقشتها ، وهو تطور إيجابي. ومع ذلك ، فإن الافتقار إلى التواصل مع المستخدمين هو أحد المجالات التي يمكن بالتأكيد تحسينها.

الخطأ المعني ، كما أوضحه عالم ، كان بسيطًا إلى حد ما ، ومن الممكن أن يكون أي عدد من بيانات المستخدم قد تعرض للاختراق بسبب هذا الخلل. ومع ذلك ، يتماشى هذا مع المشكلة المستمرة في الهند ، حيث يتم تثبيط الباحثين الأمنيين بشكل نشط عن استكشاف نقاط الضعف في أنظمة الإنترنت – ونادرًا ما يتم إخبار المستخدمين ، إن لم يتم إخبارهم بالمشكلات إلا إذا تم نشر الأمر علنًا من مصادر أخرى.

هل تحدد سياسة الخصوصية الجديدة في WhatsApp نهاية خصوصيتك؟ ناقشنا هذا على Orbital ، بودكاست Gadgets 360. يتوفر Orbital على Apple Podcasts و Google Podcasts و Spotify وفي أي مكان تحصل فيه على البودكاست الخاص بك.