Vero Moda, Jack and Jones, le bug du site best-seller avait mis les données des utilisateurs en danger

Vero Moda, Jack and Jones, Only et d’autres sites Web Bestseller India présentaient une faille de sécurité qui permettait le détournement de comptes d’utilisateurs par toute personne connaissant simplement l’ID de messagerie cible utilisé pour l’inscription. Cela exposerait à son tour des informations telles que les adresses de livraison de l’utilisateur, son nom complet et son numéro de téléphone, ainsi que tous les crédits enregistrés sur les sites. Bien que ces informations ne vous inquiètent pas, elles sont en réalité très précieuses et elles sont également souvent utilisées dans des attaques de phishing pour usurper l’identité d’une véritable entreprise et vous escroquer. Après que Gadgets 360 ait soulevé le problème avec l’entreprise – une année complète après que le chercheur en sécurité l’ait fait – la faille a finalement été corrigée, de sorte que les données des clients ne sont plus accessibles, mais l’entreprise n’a partagé aucun détail sur la durée pendant laquelle les données des clients étaient à risque. .

Le chercheur en sécurité Sayaan Alam a écrit aux bureaux de l’entreprise en septembre 2019. À l’époque, Alam avait tweeté au PDG de l’entreprise et lui avait demandé d’envoyer un e-mail. Alam a ensuite envoyé un rapport sur le problème au PDG de l’entreprise et a reçu un tweet en réponse du compte de Vero Moda India, qui a déclaré qu’il avait “transmis cela à l’équipe concernée”.

Dans les e-mails examinés par Gadgets 360, Alam a expliqué qu’il avait effectué des tests de sécurité et trouvé un bogue qui pourrait permettre la prise de contrôle des comptes de Vero Moda, Jack and Jones et Only India. Il a demandé à être connecté au CTO de l’entreprise.

Plus d’un an plus tard, Alam a déclaré qu’il n’avait reçu aucune autre information de la société, alors que le bogue restait actif. En décembre, Alam a alerté Gadgets 360, et en créant un compte fictif avec un détail secret, nous avons pu confirmer qu’Alam pouvait effectivement reprendre un compte s’il connaissait l’identifiant de messagerie utilisé pour s’inscrire.

Compte tenu de l’étendue de l’utilisation des identifiants de messagerie, il ne serait pas difficile pour quelqu’un d’obtenir l’identifiant de quelqu’un, puis d’obtenir d’autres informations telles que l’adresse du domicile d’une personne, compromettant ainsi sa sécurité.

Dans les discussions avec Gadgets 360, Alam a expliqué qu’il “ne voulait pas rendre le problème public tant que le bogue était toujours actif, car cela pourrait mettre les comptes des utilisateurs en danger”.

Crédit photo : nous avons créé un compte fictif afin de confirmer que le compte d’un utilisateur pourrait être compromis avec rien de plus que l’identifiant de messagerie utilisé

Gadgets 360 a ensuite contacté l’entreprise et échangé des e-mails avec son directeur de l’information, Ranjan Sharma, qui a répondu rapidement et collecté des informations sur les conclusions d’Alam. Après avoir obtenu les détails, Sharma a répondu qu’il “vérifierait”. Une semaine plus tard, lorsqu’on lui a demandé des mises à jour, Sharma a répondu que le bogue avait été corrigé.

“Tout d’abord, permettez-moi de vous remercier d’avoir porté cela à notre connaissance”, a-t-il déclaré par e-mail. «Nous avons fait une plongée en profondeur et avons trouvé un problème de version avec notre système et, par conséquent, l’échange de jetons était manqué, ce que nous avons corrigé le même jour. Nous travaillons également sur un plan pour atteindre nos clients enregistrés. “

À ce stade, nous avons demandé des informations sur le nombre de clients qui utilisent le site et si l’entreprise dispose d’un programme de primes aux bogues pour encourager les chercheurs en sécurité à produire des rapports. Cependant, Sharma n’a partagé aucune réponse après cela et il n’est pas clair si des utilisateurs ont été informés – le compte de test que nous avons créé n’a reçu aucune mise à jour concernant la violation de ses informations – trois mois après que le problème a été signalé à l’entreprise et le bogue corrigé.

Sharma et Bestseller ont répondu rapidement aux arguments de Gadgets et ont résolu le problème une fois qu’il a été discuté, ce qui est une évolution positive. Cependant, le manque de communication avec les utilisateurs est un domaine qui pourrait certainement être amélioré.

Le bogue en question, comme l’a démontré Alam, était assez simple, et il est possible qu’un certain nombre de données utilisateur aient pu être compromises par cette faille. Cependant, cela correspond à un problème persistant en Inde, où les chercheurs en sécurité sont activement découragés d’explorer les faiblesses des systèmes en ligne – et les utilisateurs sont rarement, voire jamais, informés des problèmes à moins que l’affaire ne soit rendue publique par d’autres sources.


La nouvelle politique de confidentialité de WhatsApp sonne-t-elle la fin de votre vie privée ? Nous en avons discuté sur Orbital, le podcast Gadgets 360. Orbital est disponible sur Apple Podcasts, Google Podcasts, Spotify et partout où vous obtenez vos podcasts.

.