İngiliz prezervatif ve kişisel kayganlaştırıcı markasının Hindistan yan kuruluşu Durex India, müşterilerinin tam adları ve sipariş detayları da dahil olmak üzere kişisel bilgilerini ifşa etti.
Güvenlik araştırmacısı Sourajeet Majumder, bu hafta prezervatif üreticisinin web sitesinde hassas müşteri verilerinin ifşa edilmesi sorunuyla ilgili olarak TechCrunch ile iletişime geçti.
Markanın web sitesi müşteri adlarını, telefon numaralarını, e-posta adreslerini, teslimat adreslerini, sipariş edilen ürünleri ve ödenen tutarı ifşa etti. Etkilenen müşterilerin tam sayısı bilinmiyor. Ancak araştırmacı, sipariş onay sayfasında uygun kimlik doğrulamasının olmaması nedeniyle yüzlerce kişinin bilgilerinin ifşa edildiğine dair kanıt buldu.
Majumder, TechCrunch’a yaptığı açıklamada, “Menkul kıymetli ürünlerle uğraşan bir marka için gizliliğin sağlanması hayati önem taşıyor.” dedi.
TechCrunch, Majumder’in bulgularını doğruladı ve müşteri sipariş ayrıntılarının yazının yazıldığı sırada hala çevrimiçi olarak erişilebilir olduğunu buldu. Bu nedenle TechCrunch, kötü niyetli aktörlere yardımcı olmamak için ifşa hakkında belirli ayrıntıları saklıyor.
TechCrunch’ın ifşa edilen müşteri bilgileriyle ilgili yayın öncesinde ulaştığı Durex’in ana şirketi Reckitt’in sözcüsü Ravi Bhatnagar, şirketin müşterilerinin bilgilerini güvence altına almayı planlayıp planlamadığı konusunda yorum yapmayı veya bilgi vermeyi reddetti.
Araştırmacı TechCrunch’a verilerin kimlik hırsızlığı için kullanılabileceğini ve iletişim bilgilerinin istenmeyen tacize yol açabileceğini söyledi. Majumder ayrıca güvenlik açığı hakkında Hindistan Bilgisayar Acil Durum Müdahale Ekibi’yle (CERT-In) iletişime geçtiğini ve e-postasını kabul ettiğini söyledi.
Araştırmacı, “Etkilenen müşteriler, bu sızıntı nedeniyle sosyal tacizin veya ahlaki polisliğin kurbanı da olabilir” dedi.