Гігант модної індустрії Express виправив помилку на своєму вебсайті, яка дозволяла будь-кому переглядати деталі замовлень та особисту інформацію інших людей, ексклюзивно дізнався TechCrunch. Щонайменше дюжина замовлень клієнтів Express були публічно доступні в результатах пошуку вебпошукових систем.
Ця помилка безпеки розкривала сторінки підтвердження замовлень в інтернет-магазині Express, показуючи деталі покупок та інформацію про тих, хто їх зробив.
Серед розкритої інформації були імена клієнтів, номери телефонів та адреси електронної пошти; поштові, платіжні та адреси доставки; деталі замовлень, включаючи товари, які придбав клієнт; а також часткову інформацію про платіжні картки, включаючи тип картки та останні чотири цифри.
Express — великий роздрібний продавець одягу з сотнями магазинів у Сполучених Штатах, Мексиці та Латинській Америці. Компанія, яка колись була публічною, тепер керується WHP Global, якій також належать кілька гігантів моди та ритейлу.
Рей Банго, захисник безпеки та конфіденційності, випадково виявив цю ваду, розслідуючи шахрайську покупку з облікового запису члена сім’ї, але не знайшов жодного способу повідомити про неї Express. Банго попросив TechCrunch повідомити компанію, щоб виправити помилку.
«Коли я спробував перевірити за допомогою Google, чи є номер замовлення легітимним номером замовлення Express, я побачив посилання на інше замовлення та з’явилася інформація про чуже замовлення!» — розповів Банго TechCrunch.
TechCrunch підтвердив, що можна було змінити адресу вебсторінки підтвердження замовлення, щоб переглянути інформацію про замовлення та особисті дані інших клієнтів. Express використовує номери замовлень, які значною мірою є послідовними, що дозволяє легко потенційно перебрати тисячі замовлень, змінюючи номер замовлення у вебадресі за допомогою автоматизованих вебінструментів.
Після того, як ми зв’язалися з Express, гігант одягу виправив помилку в середу, але не став коментувати, чи планує він повідомляти клієнтів про цей збій безпеки.
Відповідаючи на запит про коментар, керівник відділу маркетингу Express Джо Береан повідомив TechCrunch: «Ми серйозно ставимося до безпеки та конфіденційності інформації клієнтів і закликаємо всіх, хто виявляє потенційну проблему безпеки, зв’язуватися з нами безпосередньо».
«Дізнавшись про цю проблему, ми провели розслідування та продовжуємо вивчати це питання, і наразі не маємо подальших коментарів», — сказав Береан.
Береан не повідомив, як клієнти можуть зв’язатися з компанією, а також не деталізував, чи планує компанія оновити свій вебсайт для отримання повідомлень про вади безпеки, наприклад, через програму розкриття вразливостей. Він не сказав, чи має компанія технічні засоби (наприклад, журнали подій), щоб перевірити, чи хтось отримував доступ до особистої інформації інших клієнтів.
Керівник не відповів на додаткові запитання, зокрема про те, чи планує Express розкривати цей інцидент генеральним прокурорам штатів, як того вимагають закони США про повідомлення про витоки даних.
Цей збій безпеки Express є останнім інцидентом за останні місяці, коли інформація клієнтів залишалася відкритою для інтернету через неправильні конфігурації або ненавмисні вади безпеки.
У грудні дослідник безпеки виявив, що Home Depot протягом року піддавав свої внутрішні системи ризику, але не зміг повідомити компанію про інцидент. Того ж місяця гігант ветеринарії та здоров’я домашніх улюбленців Petco вимкнув свій вебсайт після того, як TechCrunch виявив, що сайт Vetco Clinics компанії розкривав особисту інформацію клієнтів та медичні документи їхніх улюбленців.
Залишити відповідь
Щоб відправити коментар вам необхідно авторизуватись.