Технический сбой в системе Express позволял открыть страницу подтверждения заказа, где были видны полные данные покупателя: имя, телефон, e‑mail, почтовый и платёжный адрес, тип карты и последние четыре цифры. Поисковые системы индексировали такие страницы, делая информацию публичной.
Что произошло
Исследователь Rey Bango нашёл проблему, проверяя подозрительную покупку. Он изменил параметр номера заказа в URL и увидел чужие данные. Номера заказов почти последовательные, поэтому скрипты могли перебрать тысячи записей.
Почему это важно
- Утечка затронула личные данные более чем десяти клиентов.
- Компания Express, входящая в состав WHP Global, не публиковала процесс приёма сообщений об уязвимостях и не уточнила, будет ли уведомлять пострадавших.
- Случай усиливает опасения по поводу безопасности онлайн‑платформ в розничной торговле, где такие ошибки могут привести к масштабным утечкам.
Что дальше
После сообщения TechCrunch компания исправила уязвимость, но отказалась комментировать планы по информированию клиентов или взаимодействию с регуляторами. Специалисты советуют ритейлерам внедрять программы раскрытия уязвимостей и проводить регулярные аудиты безопасности.