Moda devi Express, müşterilerinin kişisel bilgilerini ve sipariş detaylarını internette ifşa eden bir güvenlik açığını kapattı. TechCrunch'a özel olarak elde edilen bilgilere göre, Express’in web sitesinde en az bir düzine müşteri siparişi, arama motoru sonuçlarında kamuya açık şekilde listelenmişti.
İFŞA OLAN BİLGİLER
Güvenlik açığı, Express’in çevrimiçi mağazasındaki sipariş onay sayfalarını açığa çıkardı ve bu sayede satın alımlara dair detaylar ve siparişi veren kişilerin bilgileri görünür hale geldi. İfşa edilen bilgiler arasında müşteri isimleri, telefon numaraları, e-posta adresleri; posta, fatura ve teslimat adresleri; sipariş detayları, yani müşterinin satın aldığı ürünler; ve kısmi ödeme kartı bilgileri, kart türü ve son dört haneler yer alıyordu. Express, Amerika Birleşik Devletleri, Meksika ve Latin Amerika’da yüzlerce mağazası bulunan büyük bir giyim perakendecisi.
GÜVENLİK AÇIĞINI KEŞFEDEN BANGO'YU DİNLEYİN
Güvenlik ve gizlilik savunucusu Rey Bango, bir aile üyesinin hesabında gerçekleşen sahte bir satın alma işlemini araştırırken bu açığı tesadüfen keşfetti. Ancak, açığı Express’e bildirme konusunda bir yol bulamadı. Bango, TechCrunch’tan bu durumu bildirmesini istedi. Bango, “Sipariş numarasının geçerli bir Express sipariş numarası olup olmadığını kontrol etmek için Google’da arama yaparken, başka bir siparişin ve başka birinin sipariş bilgilerin bulunduğu bir bağlantı gördüm!” dedi. TechCrunch, sipariş onay sayfasının adresini değiştirerek diğer müşterilerin sipariş ve kişisel bilgilerine erişmenin mümkün olduğunu doğruladı. Express, sipariş numaralarının büyük ölçüde ardışık olduğunu belirtiyor; bu da otomatik web araçları kullanarak web adresindeki sipariş numarasını değiştirerek binlerce siparişi döngüsel olarak kontrol etmenin kolay olduğunu ortaya koyuyor. Express ile iletişime geçtiğimizde, giyim devi açığı Çarşamba günü kapattığını ancak müşterileri bu güvenlik açığından haberdar edip etmeyeceği konusunda bir açıklama yapmadı. Express’in pazarlama müdürü Joe Berean, TechCrunch’a, “Müşteri bilgilerinin güvenliği ve gizliliği bizim için çok önemli ve potansiyel bir güvenlik endişesi tespit eden herkesin doğrudan bizimle iletişime geçmesini teşvik ediyoruz,” dedi. Berean, bu sorun hakkında bilgi sahibi olduklarından itibaren konuyu araştırdıklarını ve incelemeye devam ettiklerini, ancak şu anda başka bir yorum yapmayacaklarını belirtti. Şirketin müşteri bilgilerine erişim olup olmadığını kontrol etmek için teknik imkanları, örneğin günlük kayıtları olup olmadığını veya güvenlik açığı bildirim programı gibi bir güncelleme planları bulunup bulunmadığını da belirtmedi. Ek olarak, Express’in bu olayı eyalet başsavcılarıyla paylaşmayı düşünüp düşünmediği konusunda sorulara yanıt vermedi. Express’in güvenlik açığı, son aylarda müşterilerin bilgilerinin yanlış yapılandırmalar veya dikkatsizlik nedeniyle internete açıldığı en son olay. Aralık ayında, bir güvenlik araştırmacısı Home Depot’un iç sistemlerini bir yıl boyunca açığa çıkardığını keşfetti, ancak durumu bildirirken zorluk yaşadı. Aynı ay, veterinerlik ve evcil hayvan sağlığı devi Petco, TechCrunch’ın şirketin Vetco Klinikleri web sitesinin müşterilerin kişisel bilgilerini ve evcil hayvanlarının tıbbi belgelerini sızdırdığını bulmasının ardından web sitesini kapattı.
