Moda devi Express, web sitesinde yer alan bir güvenlik açığını giderdi. Bu açık, kullanıcıların başkalarının sipariş detaylarını ve kişisel bilgilerini görüntülemesine olanak tanıyordu. TechCrunch’ın özel haberine göre, en az on iki Express müşterisinin siparişi, arama motoru sonuçlarında halka açık bir şekilde listelendi.
Güvenlik açığı, Express’in çevrimiçi mağazasındaki sipariş onay sayfalarını ifşa ederek, satın alma detaylarını ve bunları kimin yaptığına dair bilgileri ortaya çıkardı.
- Müşteri isimleri
- Telefon numaraları ve e-posta adresleri
- Posta, fatura ve teslimat adresleri
- Sipariş detayları, satın alınan ürünler
- Karta dair kısmi bilgiler, kart türü ve son dört haneler
Express, Amerika Birleşik Devletleri, Meksika ve Latin Amerika genelinde yüzlerce mağazası olan büyük bir giyim perakendecisidir. Halka açık olarak işlem gören eski şirket, şu anda birçok moda ve perakende devini bünyesinde bulunduran WHP Global tarafından yönetilmektedir.
Güvenlik ve gizlilik savunucusu Rey Bango, bir aile üyesinin hesabındaki sahte bir satın almayı araştırırken açığı tesadüfen keşfetti, ancak durumu Express’e bildirecek bir yol bulamadı. Bango, bu açığı düzeltmek amacıyla TechCrunch’tan şirketi bilgilendirmesini istedi.
Bango, “Sipariş numarasının düzgün formatta bir Express siparişi olup olmadığını Google’da kontrol etmeye çalıştığımda, başka bir siparişin linkini gördüm ve başka birine ait sipariş bilgileri belirdi!” ifadelerini kullandı.
TechCrunch, sipariş onay sayfası adresini değiştirerek başkalarının sipariş ve kişisel bilgilerini görüntülemenin mümkün olduğunu doğruladı. Express, büyük ölçüde ardışık sipariş numaraları kullandığından, web adresinde sipariş numarasını değiştirerek binlerce sipariş arasında döngü yapmayı kolaylaştırıyor.
Express ile iletişime geçtikten sonra, giyim devi açığı Çarşamba günü düzeltmesine rağmen, müşterileri güvenlik açığı hakkında bilgilendirmeyi planlayıp planlamadığına dair bir açıklama yapmadı.
Express’in pazarlamadan sorumlu müdürü Joe Berean, TechCrunch’a verdiği demeçte, “Müşteri bilgilerinin güvenliğini ve gizliliğini ciddiye alıyoruz ve potansiyel bir güvenlik sorunu tespit eden herkesi doğrudan bizimle iletişime geçmeye teşvik ediyoruz.” dedi.
Berean, “Bu sorun hakkında bilgi sahibi olunca araştırdık ve konuyu incelemeye devam ediyoruz. Şu anda başka bir açıklama yapmıyoruz.” ifadelerini kullandı.
Berean, müşterilerin şirketle nasıl iletişim kurabileceği konusunda bilgi vermedi ve güvenlik açıkları hakkında rapor almak için bir güncelleme yapılıp yapılmayacağına dair ayrıntılara da değinmedi. Açıklar hakkında kontrol edilip edilmediği konusuna dair de yorum yapmadı.
Yönetici, Express’in, ABD veri ihlali bildirim yasaları gereği, durumu eyalet avukatlarına bildirmeyi planlayıp planlamadığını da yanıtlamadı.
Express’in güvenlik açığı, son aylardaki, müşteri bilgilerinin internet ortamında yanlış yapılandırmalar veya dikkatsiz güvenlik açıkları nedeniyle ifşa edilmesine dair bir diğer örnek. Aralık ayında, bir güvenlik araştırmacısı Home Depot’un iç sistemlerini bir yıl boyunca ifşa ettiğini keşfetti ancak durumu şirkete bildirmekte zorlandı. Aynı ay, veterinerlik ve hayvan sağlığı devi Petco, TechCrunch’ın şirketin Vetco Klinikleri sitesinin müşterilerin kişisel bilgilerini ve hayvanlarının sağlık belgelerini sızdırdığını keşfetmesinin ardından web sitesini kapattı.
Bu tür güvenlik açıklarının artış göstermesi, alışveriş deneyimlerine nasıl bir etkide bulunuyor?
