近日,来自加拿大家得宝(Home Depot)的多位客户称,该公司向他们发送了数百封包含陌生人订单信息的电子邮件。
有用户收到了超过600封“准备取货订单”的邮件提醒和与发货相关的通知,且每封都与不同的订单有关。
令数百名用户感到震惊的是,这些订单与他们的家得宝账户没有关联,许多人认为这是一严重数据泄露事件。
家得宝加拿大客户Spencer K. Monckton在推特上写道:
“嘿,嗯…我很确定,我收到了一封提醒邮件,几乎是加拿大家得宝商店目前准备提货的所有在线订单。有660多封电子邮件。一定是出了问题。”
家得宝加拿大公司(Home Depot Canada)将数百封与客户账户无关的订单信息电子邮件发送到了客户的收件箱 来源:Twitter
这些电子邮件中包含的订单号和信息与Monckton的帐户无关。
后来,Twitter上出现了更多的报道,显示了用户的邮箱被淹没的截图和视频,原因可能是电子邮件系统出现了故障。
电子邮件内容显示了客户的姓名、二维码订单号、取货店地址等信息,在某些情况下,还会显示客户的家庭住址、订单中的物品以及部分付款卡号后4位数字的付款收据。
Monckton进一步透露说,他在美国东部时间凌晨2:32到3:29之间总共收到了467封电子邮件。
在10月24日至25日之间下达的所有与在线订单相关的电子邮件,均已提交以供店内取货。第一个可用的提货日是周一(10月26日)。客户没有取单导致系统产生这些提醒邮件。
他说:“我收到的其中一封邮件是我自己的订单(顺便提一下,是第一封),但另外466封邮件是用两种官方语言发给加拿大各地的人们的。”
“在每封邮件的‘收件人’一行中,还列出了许多其他的电子邮件地址,最多有544个。有趣的是,我收到的第一封邮件只有83个电子邮件地址,然后是84个,然后是85个,然后是86个,等等。因此,系统似乎能处理好所有预定要发送的提醒邮件,并将每个新客户的邮件追加到一个不断增长的邮件列表中。很难说有多少顾客可能会受到影响,但你可以从@bethanyfrances的推特上看到,这不仅仅是提醒邮件,” Monckton告诉BleepingComputer。
Monckton称这是一个“大错”,他说,从理论上讲,人们可以用订单号/二维码来取货,因为家得宝并不总是在顾客出现在路边取货时检查他们的ID。在家得宝的员工不要求客户显示身份证明时,邮件接收者有可能取走陌生人的订单。
雪上加霜的是,订单邮件中还抄送了几个客户。
这意味着任何使用“全部回复”电子邮件功能的客户将不仅回应了家得宝,而且回复所有错误收到订单信息的客户。
“早上,我一觉醒来就收到了@HomeDepotCanada的几个封关于关于接单的邮件……一定是系统出错了。”Lauren Birch在推特上发了一条推特,并上传了一段自己邮箱泛滥的视频。
当被问及此事时,加拿大家得宝公司企业传播总监Paul Berto告诉BleepingComputer:
“周二晚上,我们在某些Homedepot.ca订单上发现了系统错误,这影响了我们的少数加拿大客户。一些客户可能收到了多封关于他们未下订单的电子邮件。”
“此问题已得到解决。所有电子邮件均未包含密码或未隐藏的付款卡信息。对于由此引起客户的关注,我们深表歉意,在此感谢他们的耐心和支持,我们迅速解决了这个问题,” Berto告诉BleepingComputer。
家得宝分公司也在推特上发表声明,明确这一事件已经影响了“极少数”预定上门取货的顾客。
尽管公司有这样的声明,但一些客户还是指责家得宝这“非常严重的数据泄露”,并反驳说不相信这只影响了少数客户。
考虑到某些用户的私人信息,包括家庭住址和部分支付卡信息被泄露给了几十个陌生人,人们的担忧是有道理的。有用户表示, 正在向加拿大隐私事务专员报告重大数据泄露事件, 并鼓励其他人也这样做。
虽然该事件没有暴露过度敏感的信息,如完整的支付卡数据或用户密码,但它仍然是严重的侵犯隐私行为。
早在2014年,家得宝经历了一次数据泄露 ,5600万用户的信用卡信息遭到暴露。(本文出自SCA安全通信联盟,转载请注明出处。)
