時尚零售商 Express 將客戶個人資料與訂單詳情暴露於網際網路

時尚巨頭 Express 已修復其網站的一項安全漏洞，該漏洞曾允許任何人查看他人的訂單詳情和個人資訊，TechCrunch 獨家獲悉此消息。至少有十幾份 Express 的客戶訂單曾被公開列在網路搜尋引擎的結果中。

該安全漏洞暴露了 Express 線上商店的訂單確認頁面，揭露了購買詳情以及購買者的身份。

暴露的資訊包含客戶姓名、電話號碼和電子郵件地址；郵寄、帳單和送貨地址；訂單詳情（包括客戶購買的商品）；以及部分支付卡資訊（包括卡片類型和最後四位數字）。

Express 是一家大型服裝零售商，在美國、墨西哥和拉丁美洲擁有數百家門市。這家曾上市的公司目前由 WHP Global 經營，該集團旗下還擁有多家時尚和零售巨頭。

安全與隱私倡導者 Rey Bango 在調查一名家庭成員帳戶上的詐騙購買行為時，意外發現了這個漏洞，但發現無法向 Express 舉報該漏洞。Bango 請求 TechCrunch 提醒該公司，以期修復此錯誤。

「當我嘗試使用 Google 查詢該訂單編號是否為格式正確的 Express 訂單編號時，我看到了一個指向另一份訂單的連結，結果出現了別人的訂單資訊！」Bango 告訴 TechCrunch。

TechCrunch 證實，使用者可以透過修改訂單確認網頁的網址，來查看其他客戶的訂單和個人資訊。Express 使用的訂單編號基本上是按順序排列的，這使得透過自動化網路工具更改網址中的訂單編號，進而循環查看數千份訂單變得非常容易。

在我們聯繫 Express 後，這家服裝巨頭於週三修復了該漏洞，但未說明是否計劃通知客戶此安全疏失。

在接受置評請求時，Express 行銷主管 Joe Berean 告訴 TechCrunch：「我們非常重視客戶資訊的安全與隱私，並鼓勵任何發現潛在安全問題的人直接與我們聯繫。」

「在得知此問題後，我們進行了調查並持續審查此事，目前沒有進一步評論，」Berean 表示。

Berean 未說明客戶應如何聯繫該公司，也未詳細說明公司是否計劃更新其網站以接收安全漏洞報告（例如漏洞披露計畫）。他沒有說明公司是否擁有技術手段（如日誌）來檢查是否有人曾訪問過其他客戶的個人資訊。

這位高管未回應後續問題，包括 Express 是否計劃按照美國數據洩漏通知法的要求，向州檢察長披露此事件。

Express 的安全疏失是近幾個月來，因配置錯誤或疏忽導致客戶資訊暴露於網路的最新事件。

去年 12 月，一名安全研究人員發現 Home Depot 的內部系統已暴露一年之久，但在嘗試提醒該公司注意此事件時遇到了困難。同月，在 TechCrunch 發現寵物健康巨頭 Petco 旗下的 Vetco Clinics 網站洩露客戶個人資訊及其寵物的醫療文件後，該公司關閉了其網站。