Um cliente do Walmart entrou com uma ação coletiva na Justiça da Calilfórnia alegando que não só ele como muitos outros consumidores foram prejudicados por uma violação de dados não divulgada pela empresa. A ação coletiva foi aberta por Lavarious Gardiner, quemora em San Fransisco. Ele afirma que suas informações de identificação pessoal acabaram na dark web depois que o Walmart deixou de proteger apropriadamente as informações dos clientes. Ele argumenta que essa negligência expôs a ele e a outros clientes a uma série de possíveis efeitos negativos.
Gardiner afirma no processo que forneceu suas informações de identificação pessoal ao Walmart durante a criação de uma conta no site da empresa. Acrescentou que as vulnerabilidades no site do Walmart permitiram que hackers acessassem não apenas o site do Walmart, mas também os computadores dos clientes. Os hackers supostamente começaram a publicar contas roubadas para venda na dark web.
A ação coletiva de violação de segurança do Walmart afirma que, devido à falha do Walmart em implementar a segurança, mais de 2 milhões de contas estão à venda na dark web.
Veja isso
A lista com detalhes de clientes da Clearview AI vazou
Supermercado Target processa seguradora por falta de indenização
Gardiner diz que conduziu sua própria pesquisa sobre como as violações ocorreram e como os dados estavam sendo vendidos. Nos autos Gardiner informa que realizou uma verificação no site do Walmart, o que revelou inúmeras vulnerabilidades. A ferramenta utilizada por ele foi o ZAP (Zed Attack Proxy) da OWASP (Open Web Application Security Project), que ele diz ser amplamente utilizado nas comunidades de segurança cibernética para identificar possíveis vulnerabilidades.
Os resultados da verificação incluídos no processo apontam seis grandes vulnerabilidades, que foram as seguintes:
- Endereçamento IP privado disponível publicamente no código do site
- Muitas instâncias em que a função “preenchimento automático de senha” era ativada, permitindo que malwares extraíssem a senha do navegador
- Oportunidades para que os cookies fossem acessados por scripts ou malware presentes no computador do consumidor
- Falta de proteção para cross site scripting, o que pode permitir a um hacker inserir seu próprio script no site do Walmart. Segundo o autor, isso poderia permitir que um hacker acessasse informações que um consumidor inserisse no site do Walmart
- Permissão de JavaScript entre domínios, outra maneira pela qual um hacker pode executar scripts entre sites
- Cookies enviados sem flags seguros, permitindo que sejam acessados através de conexões não-criptografadas
Gardiner diz que realizou outra varredura do site usando o Nessus, uma ferramenta usada por agências governamentais para digitalizar sites. Ele afirma que essa verificação revelou vulnerabilidades adicionais. Uma das principais fragilidades reveladas pelo Nessus foi que o site do Walmart ainda usava um protocolo de segurança desatualizado. Segundo os autos, esse protocolo desatualizado é uma fragilidade conhecida e deveria ter sido substituído há 12 anos, disse Gardiner.
Com agências internacionais
