时尚零售商Express将客户的个人数据和订单详细信息暴露在互联网上

据TechCrunch独家获悉，时尚巨头Express已对其网站进行了修补，修复了一个安全漏洞，该漏洞允许任何人查看其他人的订单详细信息和个人信息。至少有十几份Express的客户订单已在网络搜索引擎结果中公开列出。

该安全漏洞暴露了Express在线商店的订单确认页面，泄露了购买的详细信息以及购买者的信息。

暴露的信息包括客户姓名、电话号码和电子邮件地址；邮政地址、帐单地址和送货地址；订单详细信息，包括客户购买的商品；以及部分支付卡信息，包括卡类型和最后四位数字。

Express是一家大型服装零售商，在美国、墨西哥和拉丁美洲拥有数百家商店。这家曾经上市的公司现在由WHP Global运营，该公司还拥有多家时尚和零售巨头。

安全和隐私倡导者Rey Bango在调查家庭成员帐户的欺诈性购买后意外发现了该缺陷，但没有找到向Express报告该缺陷的方法。 Bango要求TechCrunch向公司发出警报，以修复该错误。

“当我尝试使用Google查找订单号是否为合法格式的Express订单号时，我看到了另一个订单的链接，并且出现了其他人的订单信息！” Bango告诉TechCrunch。

TechCrunch验证可以调整订单确认网页地址以查看其他客户的订单和个人信息。 Express使用的订单号基本上是连续的，这使得通过使用自动化网络工具更改网址中的订单号，可以轻松地循环浏览数千个订单。

在我们联系Express后，这家服装巨头于周三修复了该漏洞，但未透露是否计划将安全漏洞通知客户。

当联系到Express的营销主管Joe Berean寻求评论时，他告诉TechCrunch：“我们认真对待客户信息的安全和隐私，并鼓励任何发现潜在安全问题的人直接与我们联系。”

“在意识到这个问题后，我们调查并继续审查此事，目前没有进一步评论，”贝里安说。

贝里安没有透露客户如何联系该公司，也没有详细说明该公司是否计划更新其网站以接收安全缺陷报告，例如漏洞披露计划。他没有透露该公司是否拥有日志等技术手段来检查是否有人访问了其他客户的个人信息。

该高管没有回答后续问题，包括Express是否计划按照美国数据泄露通知法的要求向州检察长披露这一事件。

Express的安全漏洞是近几个月来发生的最新一起事件，由于配置错误或无意的安全漏洞，客户的信息被暴露在互联网上。

去年12月，一名安全研究人员发现家得宝 (Home Depot) 的内部系统已暴露一年，但一直难以向该公司发出该事件的警报。同月，兽医和宠物健康巨头Petco在TechCrunch发现该公司的Vetco Clinics网站泄露客户的个人信息及其宠物的医疗文件后关闭了其网站。