Американский ритейлер одежды Express закрыл критическую уязвимость, из-за которой личные данные покупателей оказались в свободном доступе. Как выяснило отраслевое издание, поисковые системы успели проиндексировать десятки заказов, сделав информацию о клиентах доступной по прямой ссылке из результатов поиска.
Механика утечки и масштаб проблемы
Дыра в безопасности затронула страницы подтверждения покупок в интернет-магазине. В открытый доступ попали полные имена, номера телефонов, адреса электронной почты, а также физические адреса проживания и доставки. Кроме того, любой желающий мог увидеть детализацию покупок и частичные данные банковских карт, включая их тип и последние четыре цифры номера.
Схема получения данных была предельно простой: достаточно было вручную изменить номер в веб-адресе страницы заказа. Поскольку компания использовала последовательную нумерацию, автоматизированные инструменты могли без труда перебрать и выгрузить тысячи записей о клиентах.
Случайная находка и реакция бизнеса
Брешь обнаружил эксперт по кибербезопасности во время частного расследования подозрительной транзакции в аккаунте члена семьи. Проверяя формат номера заказа через поисковик, он наткнулся на прямую ссылку с чужими персональными данными. Специалист попытался связаться с ритейлером напрямую, но не нашел официальных каналов для сообщения об ошибке и был вынужден передать информацию журналистам.
Компания устранила уязвимость только после обращения прессы. Представители бренда заявили, что серьезно относятся к защите данных и изучают инцидент, однако не уточнили, получат ли пострадавшие уведомления. Также руководство оставило без ответа вопросы о наличии технических логов для оценки реального масштаба взлома и о готовности отчитаться перед надзорными органами в соответствии с законом.
Контекст и системные риски
Express — крупный игрок на рынке одежды с сотнями магазинов в США и Латинской Америке. Этот инцидент продолжил череду утечек в ритейле, вызванных ошибками конфигурации. В прошлом году похожие проблемы возникли у крупного строительного гипермаркета и известной сети зоомагазинов, где данные клиентов и внутренние документы оставались открытыми в течение долгого времени.
На данный момент у ритейлера отсутствует официальная программа поиска уязвимостей. Как независимым исследователям безопасно сообщать о найденных багах в будущем, компания так и не пояснила.
