Tuft & Needle a exposé des milliers d'étiquettes d'expédition de clients – TechCrunch

Les géants des matelas et des draps, Tuft & Needle, ont laissé des centaines de milliers d'étiquettes d'expédition FedEx contenant les noms, adresses et numéros de téléphone des clients sur un serveur cloud non protégé.

Plus de 236 400 étiquettes d'expédition ont été trouvées sur un compartiment de stockage Amazon Web Services (AWS) sans mot de passe, permettant à quiconque connaissant l'adresse Web facile à deviner d'accéder aux données du client. Ces compartiments de stockage AWS sont souvent mal configurés par le propriétaire, car ils sont configurés sur «public» et non sur «privé».

Les étiquettes exposées ont été créées entre 2014 et 2017 au cours des premières années de l’entreprise. Tuft & Needle a été fondée en 2012 en Arizona. Mais certaines étiquettes ont été imprimées aussi récemment qu'en 2018.

On ne sait pas combien de temps le seau de stockage a été laissé ouvert.

Deux étiquettes d'expédition des centaines de milliers de clients exposés. Nous avons rédigé les étiquettes d’expédition afin de protéger la vie privée de nos clients. (Capture d'écran: TechCrunch)

La société de tests d'intrusion basée au Royaume-Uni, Fidus Information Security, a trouvé les données exposées. TechCrunch a vérifié les données en comparant les noms et les adresses avec les enregistrements publics.

Nous avons contacté Tuft & Needle à propos de l'exposition de données lundi. Le seau de stockage a été rapidement fermé.

"Nous avons sécurisé toute exposition potentielle et étudions la question plus avant", a déclaré la porte-parole, Brooke Figlo, dans un courrier électronique.

Tuft & Needle a déclaré qu’elle «respecterait» toutes les lois applicables en matière de notification des violations de données par l’État, mais elle n’a pas indiqué explicitement si la société informerait les clients de la défaillance de la sécurité.

Traduit de la source : https://techcrunch.com/2019/12/02/tuft-and-needle-exposed-shipping-labels/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.