Il colosso della moda Express ha patchato il suo sito web per correggere una falla di sicurezza che permetteva a chiunque di visualizzare i dettagli degli ordini e le informazioni personali di altre persone, ha appreso in esclusiva TechCrunch. Almeno una dozzina di ordini dei clienti di Express erano stati elencati pubblicamente nei risultati dei motori di ricerca web.
La falla di sicurezza ha messo in luce le pagine di conferma dell’ordine sul negozio online di Express, rivelando i dettagli degli acquisti e chi li ha effettuati.
Le informazioni esposte contenevano nomi di clienti, numeri di telefono e indirizzi e-mail; indirizzi postali, di fatturazione e di consegna; dettagli dell’ordine, inclusi gli articoli acquistati da un cliente; e informazioni parziali sulla carta di pagamento, incluso il tipo di carta e le ultime quattro cifre.
Express è un grande rivenditore di abbigliamento con centinaia di negozi negli Stati Uniti, Messico e America Latina. La società, un tempo quotata in borsa, è ora gestita da WHP Global, che possiede anche diversi giganti della moda e della vendita al dettaglio.
Rey Bango, un sostenitore della sicurezza e della privacy, ha scoperto accidentalmente il difetto dopo aver indagato su un acquisto fraudolento sul conto di un membro della famiglia, ma non ha trovato modo di segnalare il difetto a Express. Bango ha chiesto a TechCrunch di avvisare l’azienda nel tentativo di risolvere il bug.
“Quando ho provato a verificare se il numero dell’ordine era un numero d’ordine Express formattato legittimamente utilizzando Google, ho visto un collegamento a un altro ordine e sono apparse le informazioni sull’ordine di qualcun altro!” Bango ha detto a TechCrunch.
TechCrunch ha verificato che è possibile modificare l’indirizzo della pagina Web di conferma dell’ordine per visualizzare l’ordine e le informazioni personali di altri clienti. Express utilizza numeri d’ordine che sono in gran parte sequenziali, il che rende facile scorrere potenzialmente migliaia di ordini modificando il numero d’ordine nell’indirizzo web utilizzando strumenti web automatizzati.
Dopo aver contattato Express, il colosso dell’abbigliamento ha risolto il problema mercoledì, ma non ha voluto dire se intende avvisare i clienti della violazione della sicurezza.
Quando è stato raggiunto per un commento, il responsabile marketing di Express, Joe Berean, ha dichiarato a TechCrunch: “Prendiamo sul serio la sicurezza e la privacy delle informazioni sui clienti e incoraggiamo chiunque identifichi un potenziale problema di sicurezza a contattarci direttamente”.
“Dopo essere venuti a conoscenza di questo problema, abbiamo indagato e continuiamo a esaminare la questione e al momento non abbiamo ulteriori commenti”, ha affermato Berean.
Berean non ha spiegato come i clienti potrebbero contattare l’azienda, né ha specificato se l’azienda ha intenzione di aggiornare il proprio sito web per ricevere segnalazioni di falle di sicurezza, come un programma di divulgazione delle vulnerabilità. Non ha detto se la società avesse i mezzi tecnici, come i registri, per verificare se qualcuno avesse avuto accesso alle informazioni personali di altri clienti.
Il dirigente non ha risposto alle domande di follow-up, incluso se Express intendesse rivelare l’incidente ai procuratori generali dello stato come richiesto dalle leggi statunitensi sulla notifica di violazione dei dati.
L’errore di sicurezza di Express è l’ultimo incidente degli ultimi mesi in cui le informazioni dei clienti sono state lasciate esposte su Internet a causa di configurazioni errate o errori di sicurezza involontari.
A dicembre, un ricercatore di sicurezza ha scoperto che Home Depot aveva esposto i suoi sistemi interni per un anno, ma ha faticato ad allertare l’azienda dell’incidente. Nello stesso mese, il colosso veterinario e del benessere degli animali domestici Petco ha chiuso il suo sito web dopo che TechCrunch aveva scoperto che il sito Vetco Clinics dell’azienda diffondeva informazioni personali dei clienti e documenti medici dei loro animali domestici.
