A varejista de moda Express deixou dados pessoais de clientes e detalhes de pedidos expostos na internet

A gigante da moda Express corrigiu seu site para corrigir uma falha de segurança que permitia a qualquer pessoa ver detalhes de pedidos e informações pessoais de outras pessoas, descobriu o TechCrunch com exclusividade. Pelo menos uma dúzia de pedidos de clientes do Express foram listados publicamente nos resultados de pesquisas na web.

A falha de segurança expôs páginas de confirmação de pedidos na loja online do Express, revelando detalhes das compras e quem as realizou.

As informações expostas continham nomes de clientes, números de telefone e endereços de e-mail; endereços postais, de cobrança e de entrega; detalhes do pedido, incluindo os itens que um cliente comprou; e informações parciais do cartão de pagamento, incluindo o tipo de cartão e os últimos quatro dígitos.

Express é um grande varejista de roupas com centenas de lojas nos Estados Unidos, México e América Latina. A empresa, antes cotada em bolsa, é agora gerida pela WHP Global, que também possui vários gigantes da moda e do retalho.

Rey Bango, um defensor da segurança e privacidade, descobriu acidentalmente a falha após investigar uma compra fraudulenta na conta de um membro da família, mas não encontrou maneira de denunciar a falha ao Express. Bango pediu ao TechCrunch para alertar a empresa em um esforço para corrigir o bug.

“Quando tentei verificar se o número do pedido era um número de pedido Express formatado legitimamente usando o Google, vi um link para outro pedido e as informações do pedido de outra pessoa apareceram!” Bango disse ao TechCrunch.

O TechCrunch verificou que era possível ajustar o endereço da página de confirmação do pedido para visualizar o pedido e informações pessoais de outros clientes. O Express usa números de pedido que são em grande parte sequenciais, o que facilita o ciclo potencial de milhares de pedidos, alterando o número do pedido no endereço da web usando ferramentas automatizadas da web.

Depois de entrarmos em contato com o Express, a gigante do vestuário corrigiu a falha na quarta-feira, mas não informou se planeja notificar os clientes sobre a falha de segurança.

Quando contatado para comentar, o chefe de marketing do Express, Joe Berean, disse ao TechCrunch: “Levamos a sério a segurança e a privacidade das informações do cliente e incentivamos qualquer pessoa que identifique uma possível preocupação de segurança a nos contatar diretamente”.

“Ao tomar conhecimento deste problema, investigamos e continuamos a analisar o assunto e não temos mais comentários neste momento”, disse Berean.

Berean não informou como os clientes poderiam entrar em contato com a empresa, nem detalhou se a empresa tem planos de atualizar seu site para receber relatórios de falhas de segurança, como um programa de divulgação de vulnerabilidades. Ele não informou se a empresa possuía meios técnicos, como logs, para verificar se alguém havia acessado informações pessoais de outros clientes.

O executivo não respondeu às perguntas de acompanhamento, incluindo se o Express planejava divulgar o incidente aos procuradores-gerais estaduais, conforme exigido pelas leis de notificação de violação de dados dos EUA.

O lapso de segurança do Express é o incidente mais recente nos últimos meses em que as informações dos clientes ficaram expostas na Internet devido a configurações incorretas ou falhas de segurança inadvertidas.

Em dezembro, um pesquisador de segurança descobriu que a Home Depot havia expôs seus sistemas internos por um anomas teve dificuldade em alertar a empresa sobre o incidente. No mesmo mês, a gigante veterinária e de bem-estar para animais de estimação Petco retirou seu site do ar depois que o TechCrunch descobriu o O site da Vetco Clinics estava divulgando informações pessoais dos clientes e os documentos médicos dos seus animais de estimação.