La empresa de seguridad tecnológica dice que es fácil piratear las aplicaciones de registro de regalos de Target

Tenga cuidado si está creando una lista de deseos utilizando las aplicaciones de Target o sus registros de regalos. Los piratas informáticos podrían acceder a su lista, junto con su información personal, según una firma de seguridad internacional.

A diferencia de la violación de datos de Target de 2013, la información financiera del cliente no se ve comprometida a través de la lista de deseos o las aplicaciones de registro, según Patrick Dorn, portavoz de Avast, la empresa de seguridad que utilizó la temporada navideña para examinar algunas aplicaciones de compras populares. Los investigadores querían determinar qué datos se recopilaban y qué tan seguros eran.

Los investigadores de Avast encontraron que la aplicación Target mantiene una base de datos de las listas de deseos, los nombres, las direcciones y las direcciones de correo electrónico de los usuarios. Se podría acceder a esa información porque la Interfaz de Programa de Aplicación (API) de la aplicación Target es fácilmente accesible a través de Internet por aquellos con los conocimientos técnicos, según Filip Chytry, investigador de Avast, una de las compañías antivirus más grandes del mundo.

Target se tomó en serio las afirmaciones de Avast y emitió un comunicado el martes por la noche que decía: “A principios de esta noche, se nos informó que podría haber un problema potencial con nuestras plataformas de registro de invitados. Por precaución, hemos desactivado elementos de nuestra aplicación de lista de deseos y registro de regalos mientras evaluamos. Nos disculpamos por cualquier desafío que puedan enfrentar los huéspedes al intentar acceder a su registro. Nuestros equipos están trabajando diligentemente de la noche a la mañana para reanudar la funcionalidad completa '.

thomas entrena nombres y números

La revelación sobre la aplicación Target llega inmediatamente después de la violación masiva de datos que permitió a los ladrones cibernéticos acceder a los datos personales de 40 millones de clientes. A principios de este mes, el minorista de Minneapolis acordó resolver una demanda colectiva presentada por instituciones financieras por $ 39 millones. Fue el último litigio importante relacionado con la infracción.

Los investigadores de seguridad de Avast eligieron al azar aplicaciones de Home Depot, J.C. Penney, Target, Macy's, Safeway, Walgreens y Wal-Mart en un esfuerzo por ver lo que los minoristas sabían sobre sus clientes, según los datos que recopilaron. Avast se centró en Target y Walgreens en el blog de la empresa.

El acceso a la información del cliente a través del registro de regalos se realiza a través de la API de la aplicación, que es un conjunto de condiciones en las que si hace una pregunta, envía la respuesta, explicó Chytry en el blog de Avast. La API de Target no requiere ninguna autenticación, dijo.



'Lo único que necesita para analizar todos los datos automáticamente es averiguar cómo se genera el ID de usuario', escribió Chytry. “Una vez que haya resuelto eso, todos los datos se le entregarán en bandeja de plata. … ”La información que Avast pudo obtener incluía nombres, correos electrónicos, direcciones de envío, números de teléfono, el tipo de registros y los elementos de los registros.

restaurantes grand ave st paul

'Debería poder hacer llegar su lista de regalos a un grupo específico de personas que desea verla', dijo Dorn de Avast. “Pero toda tu información personal no debería ser accesible para cualquiera que quiera entrar y piratear allí. … Me siento incómodo cuando descubro que mi información puede ser fácilmente accesible para alguien. ... Es como construir un perfil sobre ti '.

Al examinar las aplicaciones de varios minoristas, los investigadores de Avast señalaron con el dedo a la aplicación Walgreens por solicitar permisos que son 'completamente innecesarios' para que funcione. También solicita más permisos que las otras aplicaciones, con la aplicación de Home Depot en segundo lugar.

“La aplicación Walgreens tiene permiso para cambiar la configuración de audio, emparejarse con dispositivos Bluetooth, controlar su linterna y ejecutarse al inicio, completamente innecesario para que la aplicación funcione correctamente”, escribió Chytry.