Nhà bán lẻ thời trang Express làm lộ dữ liệu cá nhân và chi tiết đơn hàng của khách hàng lên internet

Nhà bán lẻ thời trang Express để lộ dữ liệu cá nhân và chi tiết đơn hàng của khách hàng ra internet

Gã khổng lồ thời trang Express đã vá lỗi trên trang web của mình để khắc phục một lỗ hổng bảo mật cho phép bất kỳ ai cũng có thể xem chi tiết đơn hàng và thông tin cá nhân của người khác, TechCrunch độc quyền đưa tin. Ít nhất một tá đơn đặt hàng của khách hàng Express đã được liệt kê công khai trong kết quả của các công cụ tìm kiếm trên web.

Lỗ hổng bảo mật đã phơi bày các trang xác nhận đơn hàng trên cửa hàng trực tuyến của Express, tiết lộ chi tiết về các giao dịch mua và người thực hiện chúng. Thông tin bị lộ bao gồm tên khách hàng, số điện thoại và địa chỉ email; địa chỉ bưu điện, thanh toán và giao hàng; chi tiết đơn hàng, bao gồm các mặt hàng mà khách hàng đã mua; và thông tin thẻ thanh toán một phần, bao gồm loại thẻ và bốn chữ số cuối.

Express là một nhà bán lẻ quần áo lớn với hàng trăm cửa hàng trên khắp Hoa Kỳ, Mexico và Mỹ Latinh. Công ty từng niêm yết công khai này hiện được điều hành bởi WHP Global, công ty cũng sở hữu một số gã khổng lồ thời trang và bán lẻ.

Rey Bango, một nhà bảo vệ an ninh và quyền riêng tư, vô tình phát hiện ra lỗ hổng này sau khi điều tra một giao dịch mua gian lận trên tài khoản của một thành viên trong gia đình, nhưng không tìm thấy cách nào để báo cáo lỗi cho Express. Bango đã yêu cầu TechCrunch thông báo cho công ty trong nỗ lực khắc phục lỗi. "Khi tôi cố gắng tìm xem số đơn hàng có phải là một số đơn hàng Express được định dạng hợp lệ hay không bằng Google, tôi đã thấy một liên kết đến một đơn hàng khác và thông tin đơn hàng của người khác xuất hiện!" Bango nói với TechCrunch.

TechCrunch đã xác minh rằng người ta có thể điều chỉnh địa chỉ trang web xác nhận đơn hàng để xem đơn hàng và thông tin cá nhân của khách hàng khác. Express sử dụng số đơn hàng phần lớn là tuần tự, điều này giúp bạn dễ dàng duyệt qua hàng nghìn đơn hàng bằng cách thay đổi số đơn hàng trong địa chỉ web bằng các công cụ web tự động.

Sau khi chúng tôi liên hệ với Express, gã khổng lồ may mặc đã khắc phục lỗi vào thứ Tư, nhưng không cho biết liệu họ có kế hoạch thông báo cho khách hàng về sự cố bảo mật hay không. Khi được hỏi để bình luận, Joe Berean, người đứng đầu bộ phận tiếp thị của Express, nói với TechCrunch: “Chúng tôi coi trọng tính bảo mật và quyền riêng tư của thông tin khách hàng và khuyến khích bất kỳ ai xác định được mối lo ngại bảo mật tiềm ẩn nào hãy liên hệ trực tiếp với chúng tôi.”

“Sau khi biết về vấn đề này, chúng tôi đã điều tra và tiếp tục xem xét vấn đề và không có bình luận gì thêm vào thời điểm này,” Berean nói. Berean không cho biết khách hàng có thể liên hệ với công ty bằng cách nào, cũng như không nêu chi tiết liệu công ty có kế hoạch cập nhật trang web của mình để nhận các báo cáo về các lỗi bảo mật hay không, chẳng hạn như chương trình tiết lộ lỗ hổng. Ông không nói liệu công ty có các phương tiện kỹ thuật, chẳng hạn như nhật ký, để kiểm tra xem ai đó có truy cập vào thông tin cá nhân của khách hàng khác hay không.

Vị giám đốc điều hành đã không trả lời các câu hỏi tiếp theo, bao gồm cả việc liệu Express có kế hoạch tiết lộ sự cố này cho các tổng chưởng lý tiểu bang theo yêu cầu của luật thông báo vi phạm dữ liệu của Hoa Kỳ hay không.

Sự cố bảo mật của Express là sự cố mới nhất trong những tháng gần đây, khi thông tin của khách hàng bị lộ ra internet do cấu hình sai hoặc sơ suất bảo mật vô ý. Vào tháng 12, một nhà nghiên cứu bảo mật phát hiện ra rằng Home Depot đã để lộ các hệ thống nội bộ của mình trong một năm, nhưng đã gặp khó khăn trong việc cảnh báo công ty về sự cố này. Cùng tháng đó, gã khổng lồ về thú y và chăm sóc sức khỏe thú cưng Petco đã gỡ trang web của mình sau khi TechCrunch phát hiện ra trang web Vetco Clinics của công ty đang làm rò rỉ thông tin cá nhân của khách hàng và các tài liệu y tế của thú cưng của họ.

Zack Whittaker là biên tập viên bảo mật tại TechCrunch. Ông cũng là tác giả của bản tin an ninh mạng hàng tuần, this week in security. Bạn có thể liên hệ với anh ấy qua tin nhắn được mã hóa tại zackwhittaker.1337 trên Signal. Bạn cũng có thể liên hệ với anh ấy qua email, hoặc để xác minh việc tiếp cận, tại zack.whittaker@techcrunch.com.