El error de Home Depot envía la información del pedido del cliente a extraños

Hoy, surgieron varios informes de clientes de Home Depot en Canadá que afirman que la compañía les había enviado cientos de correos electrónicos con información sobre pedidos de extraños.

Varios usuarios recibieron más de 600 correos electrónicos recordatorios de "pedidos listos para ser retirados", cada uno relacionado con un pedido diferente.

Lo que alarmó a cientos de usuarios fue que los pedidos no estaban asociados con sus cuentas de Home Depot.

BleepingComputer ha obtenido copias de estos correos electrónicos que divulgan información como el nombre del cliente, el número de pedido, los artículos pedidos e información parcial de la tarjeta de pago.

Índice()

    Buzones de correo inundados con notificaciones de recogida de pedidos aleatorios

    Spencer K. Monckton, cliente de Home Depot Canadá tuiteó a la empresa hoy:

    "Oye, uh ... Estoy bastante seguro de que he recibido un recordatorio por correo electrónico para literalmente todos los pedidos en línea que están actualmente listos para ser retirados en literalmente todas las tiendas Home Depot en Canadá. Hay más de 660 correos electrónicos. Algo salió mal. . "

    home depot canadá correos electrónicos filtrados
    Home Depot Canada inunda las bandejas de entrada de los clientes con cientos de correos electrónicos con información de pedidos no relacionada con sus cuentas
    Fuente: Twitter

    Los números de pedido y la información contenida en estos correos electrónicos no tenían relación con la cuenta de Monckton.

    Finalmente, aparecieron otros informes en Twitter que mostraban capturas de pantalla y videos de los buzones de correo inundados de los usuarios debido a lo que parecía ser un problema del sistema de correo electrónico.

    Los correos electrónicos obtenidos por BleepingComputer revelan información como el nombre del cliente, el número de pedido (con código QR), la dirección de la tienda de retiro, los artículos del pedido, el monto del pago y los últimos 4 dígitos. del número de la tarjeta de pago.

    El correo electrónico de Home Depot filtra el número de cliente y el número de pedido.
    Los correos electrónicos de Home Depot revelan el nombre del cliente y el número de pedido (con código QR)
    Fuente: BleepingComputer

    Spencer K. Monckton, cliente de Home Depot, le dijo a BleepingComputer que recibió 467 correos electrónicos en total entre las 2:32 am y las 3:29 am EDT.

    Todos los correos electrónicos relacionados con pedidos online realizados entre el 24 y el 25 de octubre, enviados para su recogida en tienda. El primer día de recolección disponible para estos fue el lunes (26 de octubre).

    Los clientes que no pudieron recoger los pedidos generaron estos correos electrónicos de recordatorio.

    "Uno de los correos electrónicos que recibí fue para mi pedido (el primero, por cierto), pero el otro 466 estaban destinados a personas de todo Canadá, en ambos idiomas oficiales ", dijo.

    "En la línea" Para: "de cada correo electrónico, se enumeraron varias otras direcciones de correo electrónico: hasta un máximo de 544. Curiosamente, el primer correo electrónico que recibí incluía solo 83 direcciones de correo electrónico, luego las siguientes 84, luego 85, luego 86, etc. Por lo tanto, parece que el sistema funcionó con todos los recordatorios programados para enviarse, agregando cada nuevo correo electrónico de cliente a una lista creciente a medida que avanzaba. Es difícil decir cuántos clientes probablemente hubieran tenido un impacto, pero puede verlo en @bethanyfrances ' tuiteó que no eran solo correos electrónicos de recordatorio ”, dijo Monckton a BleepingComputer.

    El correo electrónico del depósito de la casa pierde los últimos 4 dígitos del número de la tarjeta de crédito.
    Los correos electrónicos de retiro de pedidos muestran los últimos 4 dígitos del número de la tarjeta de pago
    Fuente: BleepingComputer

    Monckton calificó esto como un verdadero "error", ya que en algunos casos es posible que los destinatarios de los correos electrónicos recojan pedidos de extraños, ya que el personal de Home Depot no siempre puede pedir identificación, según él.

    "En algunos casos, es posible hacer coincidir el nombre con una dirección de correo electrónico de la línea a. En teoría, es posible recoger los pedidos de estas personas utilizando el número de pedido / código QR, ya que Home Depot no siempre verifica la identificación del cliente cuando se presentan para que los recojan en la acera. ¡Un verdadero error! "

    Responder a todos y "CC" añaden aún más ruido

    Para agregar más dolor a una situación que ya era aterradora, se habían recibido correos electrónicos de pedidos en CC de varios clientes.

    Esto significa que cualquier cliente que use el botón "Responder a todos" responderá no solo a Home Depot Canadá sino a todos los clientes que hayan recibido la información de su pedido por error.

    "Esta mañana me desperté con cientos de correos electrónicos de @HomeDepotCanada sobre la preparación de pedidos ... Debe haber algún tipo de error del sistema. Aunque pensé que era molesto, me di cuenta de que lo peor es que ahora todas las personas "Responden a todos" en pánico por sus órdenes ", tuiteó. Lauren Birch junto con un video de su buzón inundado.

    Cuando se le preguntó sobre el incidente, Paul Berto, director de comunicaciones corporativas de The Home Depot Canadá, dijo a BleepingComputer:

    "El martes por la noche, descubrimos un error del sistema en algunos pedidos de Homedepot.ca que afectó a un pequeño número de nuestros clientes canadienses. Es posible que algunos clientes hayan recibido varios correos electrónicos de pedidos que no realizaron".

    "El problema se ha resuelto. Ninguno de los correos electrónicos contenía contraseñas o información de tarjetas de pago sin hash. Nos disculpamos por la preocupación que esto causó a nuestros clientes y les agradecemos su paciencia y apoyo mientras resolvimos el problema rápidamente. ". Berto le dijo a BleepingComputer.

    Home Depot Canadá también intervino Gorjeo hilo en el que fueron etiquetados, dejando en claro que el incidente afectó a un "número muy pequeño" de clientes con pedidos programados para recoger en la tienda.

    Clientes que no están convencidos del "número muy pequeño"

    A pesar de las afirmaciones de la compañía, varios clientes llamaron a Home Depot por la "violación de datos MUY grave" y negaron que esto solo afectara a unos pocos clientes:

    Home Depot grave violación de tweet 2020
    Un usuario llama a esto una "infracción MUY grave" que afecta a más de 900 clientes.
    Fuente: Gorjeo

    Bethanyfrances ' preocupación tiene mérito en la consideración de la información privada del usuario que incluía información de la tarjeta de pago filtrado a cientos de extraños.

    El usuario además Ella dijo al que estaban informando la principal violación de datos Comisionado canadiense de privacidad y animó a otros a seguir su ejemplo.

    Si bien el incidente no reveló información abiertamente confidencial, como los detalles completos de la tarjeta de pago o las contraseñas de los usuarios, sigue siendo una violación grave de la privacidad.

    Recibir no pocos, sino cientos de correos electrónicos con nombres completos, direcciones, números de tarjetas de pago parciales e información sobre envíos de extraños al azar hará sonar la alarma para cualquiera.

    En 2014, Home Depot había experimentado una Filtración de datos que comprometió los datos de las tarjetas de crédito de 56 millones de usuarios.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir