Уязвимость На Сайте Express: Как Обнаружили И Исправили Утечку Личных Данных Покупателей

Ключевые выводы

  • На сайте Express была обнаружена уязвимость, позволяющая просматривать подтверждения заказов других покупателей.
  • Уязвимость раскрывала имена, телефоны, email, адреса и часть данных банковских карт.
  • Проблема была быстро устранена после её публичного раскрытия, но компания пока не объявила о планах уведомления пострадавших.
В мире онлайн‑торговли каждый клик может стать точкой входа для злоумышленников. Рассмотрим, как простой «перебор» номеров заказов позволил получить чужие данные и что стоит знать, чтобы избежать подобных ситуаций.

Что именно случилось: технический обзор уязвимости

Исследователь в области кибербезопасности случайно наткнулся на странный баг, пока проверял подозрительную покупку в аккаунте родственника. Оказалось, что URL‑адрес страницы подтверждения заказа содержит лишь номер заказа, а не уникальный токен.

Если изменить последний набор цифр в адресе, система всё равно выдаёт страницу с деталями заказа. Поскольку номера генерируются почти последовательно, с помощью простого скрипта можно «пробежать» тысячи адресов и собрать чужие данные.

В результатах поиска Google уже появлялись ссылки на такие страницы, поэтому любой, кто ввёл номер заказа в поисковую строку, получал открытый доступ к чужой информации.

Список раскрытых полей включал:

  • Имя и фамилия покупателя;
  • Телефон и электронную почту;
  • Почтовый, биллинговый и адрес доставки;
  • Список купленных товаров;
  • Тип карты и последние четыре цифры.

Как была найдена уязвимость: путь от подозрения к публичному раскрытию

Исследователь — Рей Бангхо (Rey Bango), активный участник сообществ по защите персональных данных, обнаружил проблему, когда искал подтверждение подозрительного заказа. Он попытался ввести номер в Google и увидел страницу чужого заказа.

Попыток связаться с представителями Express не было: компания не имела публичного канала для приёма баг‑репортов. Поэтому Бангхо решил публично предупредить о проблеме, чтобы ускорить её исправление.

После получения сообщения команда Express отреагировала и уже в среду исправила проблему, удалив возможность доступа к страницам без авторизации.

Тем не менее, руководство пока не уточнило, планируют ли они информировать затронутых клиентов или раскрывать детали расследования.

Почему уязвимость была так опасна: сравнение с другими инцидентами

Утечки персональных данных в розничных сетях становятся всё более частыми. За последний год похожие проблемы случались у:

  • Home Depot – открытый доступ к внутренним системам более года;
  • Petco – раскрытие медицинских записей питомцев.

Все эти случаи имеют общую черту: простая конфигурационная ошибка, позволяющая серьезно нарушить конфиденциальность без взлома паролей.

Для покупателей это значит, что их данные могут попасть в руки мошенников, а для бренда – репутационные потери и возможные штрафы по закону о защите персональных данных (например, CCPA в Калифорнии).

Что делает Express после инцидента: ответы и открытые вопросы

Главный по маркетингу Джо Берин (Joe Berean) в интервью заявил, что компания «всегда серьезно относится к безопасности и конфиденциальности». Он добавил, что после обнаружения «проводится расследование», но деталей не назвал.

Компания не раскрыла, есть ли у неё система отслеживания доступа к конфиденциальным страницам (логи) и сможет ли она определить, кто именно просматривал чужие заказы.

Также неясно, будет ли Express уведомлять клиентов напрямую или обращаться к государственным органам, как того требуют законы США о breach‑notification.

Как защититься пользователям: простые шаги

Если вы делали покупки в Express в последние месяцы, проверьте свою электронную почту: некоторые сервисы отправляют уведомления о подозрительной активности.

Измените пароли к аккаунту и включите двухфакторную аутентификацию, если она доступна.

Следите за выписками по картам – даже частичная информация (последние 4 цифры) может помочь мошенникам подобрать полные данные.

И, конечно, используйте уникальные пароли для разных сайтов, чтобы утечка на одном не повлияла на остальные сервисы.

Справка

Express (пользовательский бренд) – американская сеть магазинов одежды, основанная в 1949 году в Далласе. На 2023 год насчитывает более 600 фирменных точек в США, Мексике и Латинской Америке. С 2019 года компания находится под управлением WHP Global, холдинга, владеющего несколькими модными брендами.

WHP Global – инвестиционная фирма, специализирующаяся на развитии международных Fashion‑ и Retail‑брендов. Среди её портфеля – такие имена, как MAC Cosmetics и New Era.

Rey Bango – независимый специалист по кибербезопасности и защите персональных данных, часто публикует отчёты о найденных уязвимостях в публичных сервисах.

CCPA (California Consumer Privacy Act) – закон Калифорнии, требующий от компаний уведомлять потребителей о любой утечке их персональных данных в течение 72 часов.

Home Depot – крупнейшая сеть строительных гипермаркетов в США, с 2022 года также сталкивается с утечками из‑за некорректных настроек серверов.

Уязвимости в интернет‑магазинах чаще всего появляются из‑за элементарных ошибок в коде. Регулярный аудит, баг‑баунти программы и открытые каналы для сообщения о проблемах могут спасти бренды от больших ударов.

Интересно почитать :

Как поменять термопасту на CPU в компьютере: пошаговое руководство для любого
пользователя
Как поменять термопасту на CPU в компьютере: пошаговое руководство для любого пользователя

Кратко: Отключите питание, снимите кулер и очистите старую пасту. Выберите термопасту, соответствующую TDP вашего процессора. Нанесите тонкий слой (пример — капля — в центре) и правильно зафиксируйте кулер. Чтобы правильно …

Что представляет собой выставка Computex 2026: полный обзор главных инноваций
Что представляет собой выставка Computex 2026: полный обзор главных инноваций

Кратко: 1500 экспонентов из 33 стран представили 6000 стендов. AI‑процессоры, гибкие корпуса, холодные системы от Alseye, Lian Li, Geometric Future. Для посетителей доступно 4 дня открытых дверей, 20 000 шагов маршрутов, …

Andreessen Horowitz Speedrun: Как попасть в самый эксклюзивный акселератор мира
Andreessen Horowitz Speedrun: Как попасть в самый эксклюзивный акселератор мира

Ключевые выводы Конкурс в программе Speedrun — менее 1%, подано 19 000 заявок, принято 50-70 стартапов за 12 недель Инвестиции до $1 млн: $500 тыс. сразу за 10% и еще …

Resolve AI привлекает $125 млн и достигает оценки в $1 млрд для автоматизации
IT-инфраструктуры
Resolve AI привлекает $125 млн и достигает оценки в $1 млрд для автоматизации IT-инфраструктуры

Ключевые выводы Resolve AI привлёк $125 млн в раунде Series A при оценке в $1 млрд Раунд возглавил Lightspeed Venture Partners при участии предыдущих инвесторов Основатели - экс-руководители Splunk с …

Конфликт Uber и Waymo вокруг законопроекта об автономных такси в
Вашингтоне — что стоит за игрой?
Конфликт Uber и Waymo вокруг законопроекта об автономных такси в Вашингтоне — что стоит за игрой?

Ключевые выводы Законопроект в округе Колумбия позволит полностью безводительские тесты и коммерческие операции автономных автомобилей, но вводит налог $0,15 за милю и строгие требования к страховке. Uber выступает против отдельного …

Amazon создаёт рынок лицензионного контента для ИИ: ответ на судебные споры
Amazon создаёт рынок лицензионного контента для ИИ: ответ на судебные споры

Ключевые выводы Amazon разрабатывает торговую площадку для легальной продажи контента ИИ-разработчикам Индустрия пытается решить проблему незаконного использования данных через партнерства ИИ-обзоры сокращают трафик на сайты СМИ на 30-40%, требуя новых …

ФильтрИзбранноеМеню43750 ₽
Top