La vulnerabilidad del sitio web de Walmart Canadá revela información personal de los clientes

Un cliente descubrió que el sitio web de Walmart Canadá tenía una falla de seguridad que permitía a cualquier persona acceder a la información personal de compras de otros consumidores.

La información revelada por el exploit en Walmart.ca incluye los nombres completos de los clientes, las direcciones de facturación y si el pedido fue entregado o recibido de la tienda. La vulnerabilidad también permite a los usuarios saber si un cliente ha pagado con Visa, Mastercard, Amex o PayPal.

El cliente que encontró la vulnerabilidad, Sanjay Bhatia, intentó comunicarse con Walmart Canadá para plantear el problema, pero no tuvo éxito. Entonces decidió ponerse en contacto con CTV News.

«[Es] una gran explotación. Estoy asombrado. De hecho, estoy molesto porque, ya sabes, mis cosas también estaban allí«, dijo Bhatia, que trabaja en el campo de TI, a CTV News.

Según Bhatia, pudo acceder a la información del cliente y del pedido a través de dos páginas web específicas en Walmart Canadá latest flyers al iniciar sesión en su propia cuenta. CTV News logró repetir la explotación y confirmar las afirmaciones de Bhatia.

Walmart Canadá ha respondido a este problema desde entonces.

«Nos tomamos muy en serio la privacidad del cliente y tenemos varios protocolos de seguridad para protegerla», dijo un portavoz del minorista en un comunicado enviado por correo electrónico.

«Tan pronto como llamó nuestra atención hoy, y con extrema precaución, inhabilitamos inmediatamente la página web donde los clientes invitados pueden acceder a los detalles de seguimiento de sus pedidos. Estamos investigando este problema más».

Mis páginas web ahora están redirigidas a la página «Contáctenos on ironbladewalmart«.

Yuan Stevens, a cargo de la política tecnológica, la ciberseguridad y la democracia en Rerson Leadership Lab y Cybersecurity Policy Exchange, dijo a CTV News que la exposición de datos no es infrecuente. Explicó que la explotación de la página web especificada estaba incluso en la lista de los 10 principales riesgos comunes de seguridad de sitios web de 2017 para el Proyecto de seguridad de aplicaciones web abiertas.