行业新闻与博客

美国第二大药房连锁店披露了一个应用程序错误，该错误使客户可以查看其他客户的私人个人信息。    

上个月将近一个星期的时间，Walgreens  移动应用程序的用户  可以查看其他客户的名字和姓氏，送货地址以及他们的处方编号，所开处方的药品名称以及商店的商店编号。分支机构完成订单。 

Walgreens 于 2月28日星期五向加利福尼亚司法部提交了数据泄露  报告，其中包括 该公司发送给受影响客户的泄露通知信的样本  。 

该公司在信中解释说：“我们最近得知在 Walgreens 移动应用程序中未经授权地泄露了您的一条或多条安全消息。”

该公司继续声明，从 2020年1月9日到 2020年1月15日，其他客户可以使用 Walgreens 移动应用程序查看存储在数据库中的 Walgreens 个人消息。

根据连锁店的说法，该漏洞是由于 Walgreens 移动应用程序个人安全消息传递功能的内部错误所致。 

沃尔格林斯说，一旦发现违规行为，便会迅速采取行动，但没有提供有关如何发现该暴露的信息。 

这家药店连锁店表示，只有一小部分客户受到网络安全事件的影响，并且没有暴露任何财务数据或社会保险号。 

然后，该商店承诺将来会对该应用程序进行其他测试，以确保所做的更改不会损害客户数据的隐私。

Acceptto 的首席安全架构师 Fausto Oliveira  认为，造成漏洞的错误归咎于缺乏测试和不良的设计。

“如果正确测试了应用程序中的错误情况，则应该由质量检查部门发现此类问题，并且在生产中从未发现过。不幸的是，经常急于推向市场，但还是采取了捷径，并且跳过了尽职调查以支持发布日期。”他评论说。

“适当的设计将确保使用每个用户密钥对移动设备上可访问的任何记录进行加密，并且确保该设备只能访问与特定用户有关的信息。”

本文由机器译制：https://www.infosecurity-magazine.com/news/walgreens-App-error-data-breach/