CVS药店连锁暂时禁用功能在其网站上提出问题后,未经授权的人员可以不通过电子邮件获得顾客购物记录。
文索基特在一份声明中,罗德岛的CVS承认,它已关闭的功能,让注册用户CVS ExtraCare忠诚卡请求购买数据的副本通过电子邮件和跟踪采购下灵活支出帐户(FSA)设置通过雇主。
这个问题,凯瑟琳·阿尔布雷特说,隐私倡导组织的创始人和主任消费者对超市的隐私入侵和编号,是任何人都可以访问持卡人的购买记录是否有用户的11位帐号,邮编的前三个字母他/她的姓。
CVS作为ExtraCare FSA的一部分记录、收集和存储数据,如购买的时间和日期,物品购买、存储位置、通用产品代码和客户名称,阿尔布雷特说。“最大的问题是,为什么CVS有所有这些数据在网站上呢?”她补充道。
正在审查
CVS官员没有回复记者的置评请求。但在其声明中,该公司表示在线功能旨在为客户提供“方便地访问自己的购买信息为目的的金融服务管理局申领场外交易物品。”
信息存储在网站上不包括处方购买,也不包括社会保障或信用卡号码,可用于身份盗窃,CVS补充道。
“保护信息的安全程序实现…访问为FSA-related客户需求精心设计的,我们相信他们是有效的,”这家零售商在声明中说。CVS指出,它已经收到了“绝对没有迹象表明”从任何持卡人信息被非法访问。
然而,CVS说它才恢复FSA-tracking特性开发了“额外的安全障碍来访问这个购买信息。”
这个故事,“隐私担忧促使CVS关闭在线服务”最初发表的《计算机世界》 。