時裝巨頭 Express 已修補其網站的安全漏洞,此漏洞曾允許任何人查看其他顧客的訂單詳情及個人資料,TechCrunch 獨家得悉。至少十數個 Express 顧客訂單曾公開出現在搜尋引擎結果中。 該安全漏洞暴露了 Express 網上商店的訂單確認頁面,洩露購買詳情及購買者身份。暴露資料包括顧客姓名、電話號碼及電郵地址;郵寄、帳單及送貨地址;訂單內容,如顧客購買的物品;以及部分付款卡資料,包括卡類型及末四位數字。
Express 是美國、墨西哥及拉丁美洲擁有數百家門市的服裝零售商。這家曾公開上市的公司現由 WHP Global 營運,後者亦擁有數家時裝及零售巨頭。 安全及私隱倡導者 Rey Bango 在調查親屬帳戶的欺詐購買時意外發現此漏洞,但無法向 Express 報告。他請求 TechCrunch 通知公司修補漏洞。「當我用 Google 查詢訂單號碼是否為合法的 Express 訂單格式時,看到另一訂單連結,並彈出他人訂單資料!
」Bango 向 TechCrunch 表示。 TechCrunch 驗證,用戶可透過修改訂單確認網頁地址查看其他顧客的訂單及個人資料。Express 的訂單號碼大致循序排列,使用自動化工具輕易可遍歷數千訂單。
Express 回應及後續
TechCrunch 聯絡 Express 後,該服裝巨頭於週三修補漏洞,但未表示是否計劃通知顧客。公司市場主管 Joe Berean 向 TechCrunch 回應:「我們重視顧客資料的安全及私隱,鼓勵發現潛在安全問題者直接聯絡我們。」 「察覺問題後,我們已調查並持續檢討,暫無進一步評論。」Berean 表示。他未透露顧客聯絡途徑、是否計劃推出漏洞披露計劃(如更新網站接收報告),亦未說明公司是否有技術手段(如日誌)檢查他人是否存取顧客資料。
Berean 未回覆後續查詢,包括是否按美國資料洩露通知法向州檢察長披露事件。 Express 安全失誤是近期多宗顧客資料因配置錯誤或意外漏洞暴露網際網路的最新事件。去年 12 月,一安全研究員發現 Home Depot 內部系統暴露一年,但難以通知公司。同月,寵物保健巨頭 Petco 在 TechCrunch 發現其 Vetco Clinics 網站洩露顧客個人資料及寵物醫療文件後,關閉網站。
