A gigante da moda Express corrigiu seu site para corrigir uma falha de segurança que permitia a qualquer pessoa ver detalhes de pedidos e informações pessoais de outras pessoas, descobriu o TechCrunch com exclusividade. Pelo menos uma dúzia de pedidos de clientes do Express foram listados publicamente nos resultados de pesquisas na web.
A falha de segurança expôs páginas de pedidos na loja online do Express, revelando detalhes de confirmação das compras e quem as realizou.
As informações expostas continham nomes de clientes, números de telefone e endereços de e-mail; endereços postais, de cobrança e de entrega; detalhes do pedido, incluindo os itens que um cliente comprou; e informações parciais do cartão de pagamento, incluindo o tipo de cartão e os últimos quatro dígitos.
Express é um grande varejista de roupas com centenas de lojas nos Estados Unidos, México e América Latina. A empresa, antes cotada em bolsa, é agora gerida pela WHP Global, que também possui vários gigantes da moda e do retalho.
Rey Bango, um defensor da segurança e privacidade, descobriu acidentalmente a falha após investigar uma compra fraudulenta na conta de um membro da família, mas não encontrou maneira de denunciar a falha ao Express. Bango pediu ao TechCrunch para alertar a empresa em um esforço para corrigir o bug.
“Quando tentei verificar se o número do pedido era um número de pedido Express formatado legitimamente usando o Google, vi um link para outro pedido e as informações do pedido de outra pessoa apareceram!” Bango disse ao TechCrunch.
O TechCrunch verificou que era possível ajustar o endereço da página de confirmação do pedido para visualizar o pedido e informações pessoais de outros clientes. O Express usa números de pedido que são em grande parte sequenciais, o que facilita o ciclo potencial de milhares de pedidos, alterando o número do pedido no endereço da web usando ferramentas automatizadas da web.
Depois de entrarmos em contato com o Express, a gigante do vestuário corrigiu a falha na quarta-feira, mas não informou se planeja notificar os clientes sobre a falha de segurança.
Quando contatado para comentar, o chefe de marketing do Express, Joe Berean, disse ao TechCrunch: “Levamos a sério a segurança e a privacidade das informações do cliente e incentivamos qualquer pessoa que identifique uma possível preocupação de segurança a nos contatar diretamente”.
“Ao tomar conhecimento deste problema, investigamos e continuamos a analisar o assunto e não temos mais comentários neste momento”, disse Berean.
Berean não informou como os clientes poderiam entrar em contato com a empresa, nem detalhou se a empresa tem planos de atualizar seu site para receber relatórios de falhas de segurança, como um programa de divulgação de vulnerabilidades. Ele não informou se a empresa possuía meios técnicos, como logs, para verificar se alguém havia acessado informações pessoais de outros clientes.
O executivo não respondeu às perguntas de acompanhamento, incluindo se o Express planejava divulgar o incidente aos procuradores-gerais estaduais, conforme exigido pelas leis de notificação de violação de dados dos EUA.
O lapso de segurança do Express é o incidente mais recente nos últimos meses em que as informações dos clientes ficaram expostas na Internet devido a configurações incorretas ou falhas de segurança inadvertidas.
Em dezembro, um pesquisador de segurança descobriu que a Home Depot havia exposto seus sistemas internos durante um ano, mas teve dificuldade para alertar a empresa sobre o incidente. No mesmo mês, a Petco, gigante veterinária e de bem-estar para animais de estimação, retirou seu site do ar depois que o TechCrunch descobriu que o site Vetco Clinics da empresa estava divulgando informações pessoais de clientes e documentos médicos de seus animais de estimação.
