Express expose les données personnelles de ses clients

Introduction

Le géant de la mode Express a corrigé une faille de sécurité sur son site web qui permettait à tout le monde de visualiser les détails de commande et les informations personnelles des clients. Cette faille a été découverte par hasard par un défenseur de la sécurité et de la vie privée, Rey Bango, qui a constaté que les informations exposées comprenaient les noms, les numéros de téléphone, les adresses e-mail, les adresses postales, de facturation et de livraison, ainsi que les détails de commande et les informations de paiement partielles.

Contexte Technique

La faille de sécurité concernait les pages de confirmation de commande sur le site web d'Express, qui révélaient les détails des achats et les informations personnelles des clients. Les numéros de commande d'Express sont en grande partie séquentiels, ce qui facilite la navigation à travers des milliers de commandes en modifiant le numéro de commande dans l'adresse web à l'aide d'outils web automatisés. Cela a permis à n'importe qui de visualiser les informations personnelles et les détails de commande d'autres clients.

Analyse et Implications

Cette faille de sécurité est la dernière en date d'une série d'incidents récents où les informations des clients ont été exposées à Internet en raison de mauvaises configurations ou de failles de sécurité involontaires. La société n'a pas indiqué si elle prévoyait de notifier les clients de la faille de sécurité ou si elle avait l'intention de mettre en place un programme de divulgation de vulnérabilités pour permettre aux chercheurs de signaler les failles de sécurité.

Perspective

Il est essentiel pour les entreprises de prendre des mesures pour protéger les informations personnelles de leurs clients et de mettre en place des mécanismes pour permettre aux chercheurs de signaler les failles de sécurité. Les consommateurs doivent également être vigilants et surveiller leurs comptes pour détecter toute activité suspecte. La mise en place d'un programme de divulgation de vulnérabilités et la notification des clients en cas de faille de sécurité sont des étapes cruciales pour renforcer la confiance et assurer la sécurité des données.