A Durex Índia, subsidiária indiana da marca britânica de preservativos e lubrificantes pessoais, expôs as informações pessoais de seus clientes, incluindo seus nomes completos e detalhes dos pedidos.
O pesquisador de segurança Sourajeet Majumder contatou o TechCrunch esta semana sobre a questão da exposição de dados sensíveis dos clientes no site do fabricante de preservativos.
O site da marca vazou nomes dos clientes, números de telefone, endereços de e-mail, endereços de entrega, os produtos pedidos e o valor pago. O número exato de clientes afetados não é conhecido. No entanto, o pesquisador encontrou evidências de que centenas de pessoas tiveram informações expostas devido à falta de autenticação adequada na página de confirmação do pedido.
“Para uma marca que lida com produtos íntimos, garantir a privacidade é crucial”, disse Majumder ao TechCrunch.
O TechCrunch verificou as descobertas de Majumder e constatou que os detalhes dos pedidos dos clientes ainda estavam acessíveis online no momento da redação. Como tal, o TechCrunch está retendo certos detalhes sobre a exposição para não auxiliar atores maliciosos.
Ao ser contatado pelo TechCrunch antes da publicação sobre as informações dos clientes expostas, Ravi Bhatnagar, porta-voz da empresa-mãe da Durex, a Reckitt, se recusou a comentar ou dizer se a empresa planeja proteger as informações de seus clientes.
O pesquisador disse ao TechCrunch que os dados poderiam ser explorados para roubo de identidade, e os detalhes de contato poderiam resultar em assédio indesejado. Majumder disse que também contatou a Equipe de Resposta a Emergências Cibernéticas da Índia (CERT-In) sobre a falha de segurança, que reconheceu seu e-mail.
“Os clientes afetados também podem se tornar vítimas de assédio social ou policiamento moral por causa desse vazamento”, disse o pesquisador.
