Le géant de la mode Express a corrigé son site Web pour corriger une faille de sécurité qui permettait à quiconque de consulter les détails des commandes et les informations personnelles d’autres personnes, a appris TechCrunch en exclusivité. Au moins une douzaine de commandes de clients d’Express avaient été répertoriées publiquement dans les résultats des moteurs de recherche Web.
La faille de sécurité a exposé les pages de confirmation de commande sur la boutique en ligne d’Express, révélant les détails des achats et qui les a effectués.
Les informations exposées contenaient les noms, numéros de téléphone et adresses e-mail des clients ; adresses postales, de facturation et de livraison ; les détails de la commande, y compris les articles achetés par un client ; et des informations partielles sur la carte de paiement, y compris le type de carte et les quatre derniers chiffres.
Express est un grand détaillant de vêtements comptant des centaines de magasins aux États-Unis, au Mexique et en Amérique latine. La société autrefois cotée en bourse est désormais dirigée par WHP Global, qui possède également plusieurs géants de la mode et de la vente au détail.
Rey Bango, un défenseur de la sécurité et de la confidentialité, a accidentellement découvert la faille après avoir enquêté sur un achat frauduleux sur le compte d’un membre de sa famille, mais n’a trouvé aucun moyen de signaler la faille à Express. Bango a demandé à TechCrunch d’alerter l’entreprise afin de corriger le bug.
« Lorsque j’ai essayé de vérifier si le numéro de commande était un numéro de commande Express légitimement formaté à l’aide de Google, j’ai vu un lien vers une autre commande et les informations de commande de quelqu’un d’autre sont apparues ! » Bango a déclaré à TechCrunch.
TechCrunch a vérifié qu’il était possible de modifier l’adresse de la page Web de confirmation de commande pour afficher la commande et les informations personnelles d’autres clients. Express utilise des numéros de commande qui sont en grande partie séquentiels, ce qui permet de parcourir facilement des milliers de commandes en modifiant le numéro de commande dans l’adresse Web à l’aide d’outils Web automatisés.
Après avoir contacté Express, le géant de l’habillement a corrigé la faille mercredi, mais n’a pas précisé s’il prévoyait d’informer les clients de la faille de sécurité.
Lorsqu’il a été contacté pour commenter, Joe Berean, responsable du marketing d’Express, a déclaré à TechCrunch : « Nous prenons au sérieux la sécurité et la confidentialité des informations client et encourageons toute personne identifiant un problème de sécurité potentiel à nous contacter directement. »
« Après avoir pris connaissance de ce problème, nous enquêtons et continuons d’examiner la question et n’avons aucun autre commentaire pour le moment », a déclaré Berean.
Berean n’a pas précisé comment les clients pourraient contacter l’entreprise, ni précisé si l’entreprise envisage de mettre à jour son site Web pour recevoir des rapports sur les vulnérabilités de sécurité, comme un programme de divulgation des vulnérabilités. Il n’a pas précisé si l’entreprise disposait des moyens techniques, tels que des journaux, pour vérifier si quelqu’un avait accédé aux informations personnelles d’autres clients.
L’exécutif n’a pas répondu aux questions de suivi, notamment si Express prévoyait de divulguer l’incident aux procureurs généraux des États, comme l’exigent les lois américaines sur la notification des violations de données.
La faille de sécurité d’Express est le dernier incident de ces derniers mois au cours duquel les informations des clients ont été exposées à Internet en raison de mauvaises configurations ou de failles de sécurité involontaires.
En décembre, un chercheur en sécurité a découvert que Home Depot avait exposé ses systèmes internes pendant un an, mais avait eu du mal à alerter l’entreprise de l’incident. Le même mois, le géant du bien-être vétérinaire et animalier Petco a fermé son site Web après que TechCrunch a découvert que le site Vetco Clinics de la société divulguait les informations personnelles des clients et les documents médicaux de leurs animaux de compagnie.
