- Ключевые выводы
- Что именно случилось: технический обзор уязвимости
- Как была найдена уязвимость: путь от подозрения к публичному раскрытию
- Почему уязвимость была так опасна: сравнение с другими инцидентами
- Что делает Express после инцидента: ответы и открытые вопросы
- Как защититься пользователям: простые шаги
- Справка
Ключевые выводы
- На сайте Express была обнаружена уязвимость, позволяющая просматривать подтверждения заказов других покупателей.
- Уязвимость раскрывала имена, телефоны, email, адреса и часть данных банковских карт.
- Проблема была быстро устранена после её публичного раскрытия, но компания пока не объявила о планах уведомления пострадавших.
В мире онлайн‑торговли каждый клик может стать точкой входа для злоумышленников. Рассмотрим, как простой «перебор» номеров заказов позволил получить чужие данные и что стоит знать, чтобы избежать подобных ситуаций.
Что именно случилось: технический обзор уязвимости
Исследователь в области кибербезопасности случайно наткнулся на странный баг, пока проверял подозрительную покупку в аккаунте родственника. Оказалось, что URL‑адрес страницы подтверждения заказа содержит лишь номер заказа, а не уникальный токен.
Если изменить последний набор цифр в адресе, система всё равно выдаёт страницу с деталями заказа. Поскольку номера генерируются почти последовательно, с помощью простого скрипта можно «пробежать» тысячи адресов и собрать чужие данные.
В результатах поиска Google уже появлялись ссылки на такие страницы, поэтому любой, кто ввёл номер заказа в поисковую строку, получал открытый доступ к чужой информации.
Список раскрытых полей включал:
- Имя и фамилия покупателя;
- Телефон и электронную почту;
- Почтовый, биллинговый и адрес доставки;
- Список купленных товаров;
- Тип карты и последние четыре цифры.
Как была найдена уязвимость: путь от подозрения к публичному раскрытию
Исследователь — Рей Бангхо (Rey Bango), активный участник сообществ по защите персональных данных, обнаружил проблему, когда искал подтверждение подозрительного заказа. Он попытался ввести номер в Google и увидел страницу чужого заказа.
Попыток связаться с представителями Express не было: компания не имела публичного канала для приёма баг‑репортов. Поэтому Бангхо решил публично предупредить о проблеме, чтобы ускорить её исправление.
После получения сообщения команда Express отреагировала и уже в среду исправила проблему, удалив возможность доступа к страницам без авторизации.
Тем не менее, руководство пока не уточнило, планируют ли они информировать затронутых клиентов или раскрывать детали расследования.
Почему уязвимость была так опасна: сравнение с другими инцидентами
Утечки персональных данных в розничных сетях становятся всё более частыми. За последний год похожие проблемы случались у:
- Home Depot – открытый доступ к внутренним системам более года;
- Petco – раскрытие медицинских записей питомцев.
Все эти случаи имеют общую черту: простая конфигурационная ошибка, позволяющая серьезно нарушить конфиденциальность без взлома паролей.
Для покупателей это значит, что их данные могут попасть в руки мошенников, а для бренда – репутационные потери и возможные штрафы по закону о защите персональных данных (например, CCPA в Калифорнии).
Что делает Express после инцидента: ответы и открытые вопросы
Главный по маркетингу Джо Берин (Joe Berean) в интервью заявил, что компания «всегда серьезно относится к безопасности и конфиденциальности». Он добавил, что после обнаружения «проводится расследование», но деталей не назвал.
Компания не раскрыла, есть ли у неё система отслеживания доступа к конфиденциальным страницам (логи) и сможет ли она определить, кто именно просматривал чужие заказы.
Также неясно, будет ли Express уведомлять клиентов напрямую или обращаться к государственным органам, как того требуют законы США о breach‑notification.
Как защититься пользователям: простые шаги
Если вы делали покупки в Express в последние месяцы, проверьте свою электронную почту: некоторые сервисы отправляют уведомления о подозрительной активности.
Измените пароли к аккаунту и включите двухфакторную аутентификацию, если она доступна.
Следите за выписками по картам – даже частичная информация (последние 4 цифры) может помочь мошенникам подобрать полные данные.
И, конечно, используйте уникальные пароли для разных сайтов, чтобы утечка на одном не повлияла на остальные сервисы.
Справка
Express (пользовательский бренд) – американская сеть магазинов одежды, основанная в 1949 году в Далласе. На 2023 год насчитывает более 600 фирменных точек в США, Мексике и Латинской Америке. С 2019 года компания находится под управлением WHP Global, холдинга, владеющего несколькими модными брендами.
WHP Global – инвестиционная фирма, специализирующаяся на развитии международных Fashion‑ и Retail‑брендов. Среди её портфеля – такие имена, как MAC Cosmetics и New Era.
Rey Bango – независимый специалист по кибербезопасности и защите персональных данных, часто публикует отчёты о найденных уязвимостях в публичных сервисах.
CCPA (California Consumer Privacy Act) – закон Калифорнии, требующий от компаний уведомлять потребителей о любой утечке их персональных данных в течение 72 часов.
Home Depot – крупнейшая сеть строительных гипермаркетов в США, с 2022 года также сталкивается с утечками из‑за некорректных настроек серверов.
Уязвимости в интернет‑магазинах чаще всего появляются из‑за элементарных ошибок в коде. Регулярный аудит, баг‑баунти программы и открытые каналы для сообщения о проблемах могут спасти бренды от больших ударов.
