Фирмата за техническа сигурност казва, че е лесно да се хакнат приложенията за регистър на подаръци Target

Внимавайте, ако правите списък с желания, използвайки приложенията за Target или неговите регистри за подаръци. Вашият списък, заедно с личната информация, може да бъде достъпен от хакери, според международна фирма за сигурност.

За разлика от пробива на данни от Target от 2013 г., финансовата информация на клиентите не е компрометирана чрез списъка с желания или приложенията за регистър, според Патрик Дорн, говорител на Avast, фирмата за сигурност, която използва празничния сезон, за да разгледа някои популярни приложения за пазаруване. Изследователите там искаха да определят какви данни се събират и колко са защитени.

Изследователите на Avast откриха че приложението Target поддържа база данни със списъци с желания, имена, адреси и имейл адреси на потребителите. Тази информация може да бъде достъпна, тъй като програмният интерфейс (API) на приложението Target е лесно достъпен през интернет от тези с ноу-хау, според Филип Читри, изследовател в Avast, една от най-големите антивирусни компании в света.

Target прие сериозно твърденията на Avast, като публикува изявление късно във вторник, в което се казва: „По-рано тази вечер ни обърнаха внимание, че може да има потенциален проблем с нашите платформи за регистър на гостите. От голямо внимание деактивирахме елементи от нашето приложение за списък с желания и регистър на подаръците, докато оценяваме. Извиняваме се за всички предизвикателства, пред които могат да се сблъскат гостите, докато се опитват да осъществят достъп до техния регистър. Нашите екипи работят усърдно през нощта, за да възобновят пълната функционалност.'

Томас тренира имена и числа

Разкритието за приложението Target идва след масовото пробив на данни, който позволи на киберкрадците достъп до лични данни на 40 милиона клиенти. По-рано този месец търговецът на дребно в Минеаполис се съгласи да уреди групов иск, заведен от финансови институции за 39 милиона долара. Това беше последният голям съдебен процес, свързан с нарушението.

Изследователите по сигурността на Avast избраха произволно приложения от Home Depot, J.C. Penney, Target, Macy’s, Safeway, Walgreens и Wal-Mart в опит да видят какво знаят търговците на дребно за своите клиенти въз основа на събраните от тях данни. Avast се фокусира върху Target и Walgreens в блога на компанията.

Достъпът до информация за клиентите чрез регистъра на подаръците се извършва чрез API на приложението, което е набор от условия, при които, ако зададете въпрос, той изпраща отговора, обясни Chytry в блога на Avast. Target API не изисква никакво удостоверяване, каза той.

„Единственото нещо, от което се нуждаете, за да анализирате автоматично всички данни, е да разберете как се генерира потребителският идентификатор“, пише Chytry. „След като разберете това, всички данни ви се сервират на сребърен поднос. …” Информацията Avast успя да получи включени имена, имейли, адреси за доставка, телефонни номера, вида на регистрите и елементите в регистрите.

grand ave restaurants St Paul

„Трябва да можете да предоставите списъка си с подаръци на конкретна група хора, които искате да го видите“, каза Дорн от Avast. „Но цялата ви лична информация не трябва да бъде достъпна за всеки, който иска да влезе и да проникне там. … Чувствам се неудобно, когато открия, че информацията ми може да бъде лесно достъпна за някого. ... Това е нещо като изграждане на профил върху теб.”

Когато разглеждаха приложенията за различни търговци на дребно, изследователите на Avast посочиха с пръст приложението Walgreens за искане на разрешения, които са „напълно ненужни“, за да функционира приложението му. Той също така изисква повече разрешения от другите приложения, като приложението на Home Depot е на второ място.

„Приложението Walgreens има разрешение да променя вашите аудио настройки, да се сдвоява с Bluetooth устройства, да контролира фенерчето ви и да работи при стартиране – напълно ненужно за правилното функциониране на приложението“, пише Chytry.