Durex India, die indische Tochtergesellschaft der britischen Kondom- und Gleitmittelmarke, hat persönliche Daten ihrer Kunden offengelegt, darunter deren vollständige Namen und Bestelldetails.
Der Sicherheitsforscher Sourajeet Majumder hat sich diese Woche mit Tech in Verbindung gesetzt, um die Veröffentlichung vertraulicher Kundendaten auf der Website des Kondomherstellers zu besprechen.
Auf der Website der Marke wurden Kundennamen, Telefonnummern, E-Mail-Adressen, Lieferadressen, die bestellten Produkte und der gezahlte Betrag veröffentlicht. Die genaue Zahl der betroffenen Kunden ist nicht bekannt. Der Forscher fand jedoch Beweise dafür, dass die Informationen von Hunderten von Personen offengelegt wurden, weil auf der Bestellbestätigungsseite keine ordnungsgemäße Authentifizierung erfolgte.
„Für eine Marke, die mit intimen Produkten handelt, ist die Gewährleistung der Privatsphäre von entscheidender Bedeutung“, sagte Majumder gegenüber Tech.
Tech überprüfte Majumders Ergebnisse und stellte fest, dass die Bestelldaten des Kunden zum Zeitpunkt des Schreibens noch online zugänglich waren. Aus diesem Grund hält Tech bestimmte Details über die Offenlegung zurück, um böswilligen Akteuren nicht zu helfen.
Als Tech ihn vor der Veröffentlichung der Informationen zu den offengelegten Kundendaten kontaktierte, wollte Ravi Bhatnagar, ein Sprecher des Durex-Mutterkonzerns Reckitt, keinen Kommentar abgeben und auch nicht sagen, ob das Unternehmen plant, die Informationen seiner Kunden zu schützen.
Der Forscher sagte gegenüber Tech, dass die Daten für Identitätsdiebstahl missbraucht werden könnten und Kontaktdaten zu unerwünschten Belästigungen führen könnten. Majumder sagte, er habe wegen der Sicherheitslücke auch das indische Computer Emergency Response Team (CERT-In) kontaktiert, das seine E-Mail bestätigt habe.
„Betroffene Kunden können aufgrund dieses Lecks auch Opfer sozialer Belästigung oder moralischer Überwachung werden“, sagte der Forscher.