Durex India, de Indiase dochteronderneming van het Britse condoom- en glijmiddelmerk, heeft de persoonlijke gegevens van haar klanten openbaar gemaakt, inclusief hun volledige namen en bestelgegevens.
Beveiligingsonderzoeker Sourajeet Majumder nam deze week contact op met TechCrunch over de kwestie van het openbaar maken van gevoelige klantgegevens op de website van een condoomfabrikant.
Op de website van het merk staan de namen van klanten, telefoonnummers, e-mailadressen, verzendadressen, bestelde producten en het betaalde bedrag. Om hoeveel klanten het precies gaat, is niet bekend. De onderzoeker vond echter bewijs dat de informatie van honderden mensen openbaar werd gemaakt vanwege een gebrek aan goede authenticatie op de bevestigingspagina van hun bestelling.
“Voor een merk dat zich bezighoudt met intieme producten is het waarborgen van privacy van cruciaal belang”, vertelde Majumder aan TechCrunch.
TechCrunch bevestigde de bevindingen van Majumder en ontdekte dat de bestelgegevens van klanten op het moment van schrijven nog steeds online beschikbaar waren. Daarom houdt TechCrunch bepaalde details over de blootstelling achter om kwaadwillende actoren niet te helpen.
Toen TechCrunch werd bereikt voordat informatie over de blootgestelde klanten werd vrijgegeven, weigerde Ravi Bhatnagar, een woordvoerder van Durex’ moederbedrijf Reckitt, commentaar te geven of te zeggen of het bedrijf van plan is de gegevens van zijn klanten te beveiligen.
De onderzoeker vertelde TechCrunch dat de gegevens kunnen worden gebruikt voor identiteitsdiefstal en dat de contactgegevens tot ongewenste intimidatie kunnen leiden. Majumder zei dat hij ook contact had opgenomen met het Indiase Computer Emergency Response Team (CERT-In) over de inbreuk op de beveiliging, wat zijn e-mail bevestigde.
“Getroffen klanten kunnen door dit informatielek het slachtoffer worden van sociale intimidatie of moreel toezicht”, aldus de onderzoeker.