Durex Índia divulgou dados de pedidos privados de clientes
A Durex Índia, subsidiária indiana da marca britânica de preservativos e lubrificantes pessoais, expôs as informações pessoais de seus clientes, incluindo seus nomes completos e detalhes dos pedidos.
O pesquisador de segurança Sourajeet Majumder contatou o TechCrunch esta semana sobre o problema da exposição de dados confidenciais de clientes no site do fabricante de preservativos.
O site da marca divulgou nomes de clientes, números de telefone, endereços de e-mail, endereços de entrega, os produtos pedidos e o valor pago. O número exato de clientes afetados não é conhecido. No entanto, o pesquisador encontrou evidências de que centenas de pessoas tiveram informações expostas devido à falta de autenticação adequada em sua página de confirmação de pedido.
“Para uma marca que lida com produtos íntimos, garantir a privacidade é crucial”, disse Majumder ao TechCrunch.
O TechCrunch verificou as descobertas de Majumder e descobriu que os detalhes do pedido do cliente ainda estavam acessíveis online no momento da escrita. Como tal, o TechCrunch está retendo certos detalhes sobre a exposição para não ajudar atores maliciosos.
Quando contatado pelo TechCrunch antes da publicação sobre as informações expostas dos clientes, Ravi Bhatnagar, porta-voz da Reckitt, empresa controladora da Durex, se recusou a comentar ou dizer se a empresa planeja proteger as informações de seus clientes.
O pesquisador disse ao TechCrunch que os dados poderiam ser explorados para roubo de identidade, e os detalhes de contato podem resultar em assédio indesejado. Majumder disse que também contatou a Equipe de Resposta a Emergências de Computadores da Índia (CERT-In) sobre a falha de segurança, que reconheceu seu e-mail.
“Os clientes afetados também podem se tornar vítimas de assédio social ou policiamento moral por causa desse vazamento”, disse o pesquisador.