Tech-Sicherheitsfirma sagt, dass es einfach ist, Target-Geschenkregistrierungs-Apps zu hacken

Seien Sie vorsichtig, wenn Sie eine Wunschliste mit den Apps für Target oder seinen Geschenkregistern erstellen. Laut einer internationalen Sicherheitsfirma könnten Hacker auf Ihre Liste zugreifen, zusammen mit persönlichen Informationen.

Im Gegensatz zur Target-Datenverletzung von 2013 werden die Finanzinformationen der Kunden nicht über die Wunschliste oder Registrierungs-Apps kompromittiert, so Patrick Dorn, ein Sprecher von Avast, der Sicherheitsfirma, die die Weihnachtszeit genutzt hat, um einige beliebte Shopping-Apps zu untersuchen. Die Forscher dort wollten herausfinden, welche Daten gesammelt werden und wie sicher sie sind.

Avast-Forscher fanden dass die Target-App eine Datenbank mit Wunschlisten, Namen, Adressen und E-Mail-Adressen der Benutzer führt. Laut Filip Chytry, einem Forscher bei Avast, einem der weltweit größten Antivirenunternehmen, konnte auf diese Informationen zugegriffen werden, weil die Application Program Interface (API) der Target-App für diejenigen mit dem Know-how leicht über das Internet zugänglich ist.

Target nahm Avasts Behauptungen ernst und gab am späten Dienstag eine Erklärung ab, in der es hieß: „Heute Abend wurden wir darauf aufmerksam gemacht, dass es möglicherweise ein Problem mit unseren Gästeregistrierungsplattformen gibt. Aus Vorsicht haben wir Elemente unserer Wunschlisten-App und der Geschenkliste während der Bewertung deaktiviert. Wir entschuldigen uns für alle Herausforderungen, mit denen Gäste möglicherweise beim Zugriff auf ihre Registrierung konfrontiert sind. Unsere Teams arbeiten über Nacht fleißig daran, die volle Funktionalität wieder aufzunehmen.“

thomas trains namen und nummern

Die Enthüllung über die Target-App folgt auf den massiven Datenschutzverstoß, der es Cyberdieben ermöglichte, auf die persönlichen Daten von 40 Millionen Kunden zuzugreifen. Anfang dieses Monats stimmte der Einzelhändler aus Minneapolis zu, eine Sammelklage von Finanzinstituten über 39 Millionen US-Dollar beizulegen. Es war der letzte größere Rechtsstreit im Zusammenhang mit dem Verstoß.

Die Sicherheitsforscher von Avast wählten nach dem Zufallsprinzip Apps von Home Depot, J.C. Penney, Target, Macy’s, Safeway, Walgreens und Wal-Mart aus, um herauszufinden, was Einzelhändler anhand der gesammelten Daten über ihre Kunden wussten. Avast konzentrierte sich im Unternehmensblog auf Target und Walgreens.

Der Zugriff auf Kundeninformationen über das Geschenkregister erfolgt über die API der App, bei der es sich um eine Reihe von Bedingungen handelt, bei denen, wenn Sie eine Frage stellen, die Antwort gesendet wird, erklärte Chytry im Avast-Blog. Die Target-API erfordert keine Authentifizierung, sagte er.



„Um alle Daten automatisch zu parsen, müssen Sie nur herausfinden, wie die Benutzer-ID generiert wird“, schrieb Chytry. „Sobald Sie das herausgefunden haben, werden Ihnen alle Daten auf einem Silbertablett serviert. …“ Die Informationen, die Avast erhalten konnte, umfassten Namen, E-Mails, Lieferadressen, Telefonnummern, die Art der Register und die Einträge in den Registern.

Grand Ave Restaurants St. Paul

„Sie sollten in der Lage sein, Ihre Geschenkliste an eine bestimmte Gruppe von Personen weiterzugeben, die Sie sehen möchten“, sagte Dorn von Avast. „Aber alle Ihre persönlichen Daten sollten für niemanden zugänglich sein, der hineingehen und sich dort hacken möchte. … Ich fühle mich unwohl, wenn ich feststelle, dass meine Informationen für jemanden leicht zugänglich sind. … Es ist eine Art Profil auf dich aufzubauen.“

Bei der Untersuchung der Apps für verschiedene Einzelhändler zeigten Avast-Forscher mit dem Finger auf die Walgreens-App, um Berechtigungen anzufordern, die „völlig unnötig“ für das Funktionieren ihrer App sind. Es fordert auch mehr Berechtigungen als die anderen Apps an, wobei die App von Home Depot an zweiter Stelle steht.

„Die Walgreens-App hat die Berechtigung, Ihre Audioeinstellungen zu ändern, mit Bluetooth-Geräten zu koppeln, Ihre Taschenlampe zu steuern und beim Start auszuführen – völlig unnötig, damit die App richtig funktioniert“, schrieb Chytry.