Lỗ hổng bảo mật tại Express để lộ thông tin cá nhân và chi tiết đơn hàng của khách hàng

Nhà bán lẻ thời trang Express đã vá lỗi trên trang web của mình để khắc phục một sai sót bảo mật nghiêm trọng cho phép bất kỳ ai cũng có thể xem chi tiết đơn hàng và thông tin cá nhân của người khác, TechCrunch đưa tin độc quyền. Ít nhất một chục đơn hàng của khách hàng Express đã bị công bố công khai và được lập chỉ mục trong kết quả tìm kiếm trên web.

Lỗi bảo mật này đã để lộ các trang xác nhận đơn hàng trên cửa hàng trực tuyến của Express, tiết lộ chi tiết về các giao dịch mua sắm cũng như danh tính của người thực hiện chúng.

Dữ liệu bị ảnh hưởng

Thông tin bị lộ bao gồm tên khách hàng, số điện thoại và địa chỉ email; địa chỉ bưu chính, địa chỉ thanh toán và giao hàng; chi tiết đơn hàng, bao gồm các mặt hàng khách hàng đã mua; và một phần thông tin thẻ thanh toán, bao gồm loại thẻ và bốn số cuối cùng của thẻ.

Express là một nhà bán lẻ quần áo lớn với hàng trăm cửa hàng tại Hoa Kỳ, Mexico và Mỹ Latinh. Công ty từng được niêm yết công khai hiện đang được điều hành bởi WHP Global, đơn vị cũng sở hữu một số thương hiệu thời trang và bán lẻ lớn khác.

Rey Bango, một người ủng hộ quyền riêng tư và bảo mật, đã tình cờ phát hiện ra lỗ hổng này khi đang điều tra một giao dịch mua gian lận trên tài khoản của một thành viên trong gia đình, nhưng anh không tìm thấy cách nào để báo cáo vấn đề này cho Express. Bango đã nhờ TechCrunch cảnh báo công ty trong nỗ lực sửa chữa lỗi.

"Khi tôi cố gắng kiểm tra xem số đơn hàng có phải là định dạng đơn hàng hợp lệ của Express hay không bằng Google, tôi đã thấy một liên kết đến một đơn hàng khác và thông tin đơn hàng của người khác hiện lên!", Bango nói với TechCrunch.

TechCrunch đã xác nhận rằng người dùng có thể tinh chỉnh địa chỉ trang web xác nhận đơn hàng để xem đơn hàng và thông tin cá nhân của các khách hàng khác. Express sử dụng các số đơn hàng phần lớn là tuần tự, điều này giúp dễ dàng lướt qua hàng nghìn đơn hàng tiềm năng bằng cách thay đổi số đơn hàng trong địa chỉ web bằng các công cụ web tự động hóa.

Phản hồi của công ty

Sau khi chúng tôi liên hệ với Express, gã khổng lồ thời trang này đã khắc phục lỗ hổng vào thứ Tư, nhưng từ chối bình luận về việc liệu họ có kế hoạch thông báo cho khách hàng về sự cố bảo mật này hay không.

Khi được liên hệ để bình luận, Giám đốc Marketing của Express, ông Joe Berean, nói với TechCrunch: "Chúng tôi coi trọng sự an toàn và quyền riêng tư của thông tin khách hàng và khuyến khích bất kỳ ai nhận ra một mối quan tâm bảo mật tiềm năng hãy liên hệ trực tiếp với chúng tôi."

"Ngay sau khi biết đến vấn đề này, chúng tôi đã điều tra và tiếp tục xem xét vấn đề và hiện không có thêm bình luận nào tại thời điểm này", ông Berean cho biết.

Tuy nhiên, ông Berean không nói rõ cách thức khách hàng có thể liên hệ với công ty, cũng không chi tiết về việc công ty có kế hoạch cập nhật trang web để nhận các báo cáo về lỗi bảo mật hay không, chẳng hạn như một chương trình tiết lộ lỗ hổng (vulnerability disclosure program). Ông cũng không nói rõ liệu công ty có các phương tiện kỹ thuật, chẳng hạn như nhật ký hệ thống (logs), để kiểm tra xem liệu có ai đã truy cập thông tin cá nhân của khách hàng khác hay không.

Giám đốc điều hành này không phản hồi các câu hỏi theo dõi, bao gồm cả việc liệu Express có kế hoạch công bố sự cố cho các tổng chưởng lý tiểu bang theo yêu cầu của luật thông báo vi phạm dữ liệu của Hoa Kỳ hay không.

Sự cố bảo mật của Express là vụ việc mới nhất trong vài tháng qua, nơi thông tin của khách hàng bị để lộ ra internet do cấu hình sai hoặc các sơ suất bảo mật vô tình.

Vào tháng 12, một nhà nghiên cứu bảo mật phát hiện rằng Home Depot đã để lộ hệ thống nội bộ của mình trong một năm, nhưng gặp khó khăn trong việc cảnh báo công ty về sự cố. Cùng tháng đó, gã khổng lồ thú y và chăm sóc thú cưng Petco đã gỡ xuống trang web của mình sau khi TechCrunch phát hiện trang web Vetco Clinics của công ty đang rò rỉ thông tin cá nhân của khách hàng và hồ sơ y tế của thú cưng của họ.