חברת האופנה Express, ענקית עם מאות סניפים בארצות הברית, מקסיקו ובלטין אמריקה, מצאה את עצמה בבעיה לא קטנה: דליפת מידע דרך האתר שלה. לפי מה שנבדק, פרטי הזמנות וגם מידע אישי של לקוחות אחרים היו נגישים ברשת, עד שהחברה תיקנה את הליקוי.
הבאג אפשר לכל אחד לצפות בפרטי הזמנה של אנשים אחרים באמצעות מניפולציה פשוטה של כתובת הדף. כלומר, לא היה צריך “לפרוץ” כמו בסרטים. מספיק היה לשנות את מספר ההזמנה בתוך ה-URL, כי Express משתמשת במספרים שעוקבים פחות או יותר אחד אחרי השני. זה פותח פתח לאוטומציה: להחליף מספרים שוב ושוב ולנסות אלפי הזמנות עד שמוצאים מה שצריך.
מה בדיוק נחשף? דפי אישור הזמנה באתר של Express, אלה שמראים מה קנית ומי ביצע את הרכישה. המידע שדלף כלל שמות לקוחות, מספרי טלפון וכתובות אימייל. בנוסף, הופיעו כתובות למשלוח, כתובות לחיוב ופרטי הזמנה מפורטים: אילו פריטים נרכשו.
ועוד נקודה שגורמת לכולם להזיע: גם מידע חלקי על אמצעי התשלום. לא מדובר במספר כרטיס מלא, אבל כן הופיע סוג הכרטיס ועוד ארבע ספרות אחרונות. זה עדיין מידע רגיש מספיק כדי לגרום לדאגה, כי בעולם של גניבת זהויות, “חלקי” זה לפעמים כל מה שצריך כדי להשלים את התמונה.
מי גילה את זה ולמה לא היה קל לדווח?
איש אבטחה ופרטיות בשם ריי באנגו גילה את התקלה במקרה. הוא חקר ניסיון רכישה מזויף בחשבון של בן משפחה, וכשהתחיל לבדוק את פורמט מספרי ההזמנה במנוע החיפוש, הוא ראה קישור להזמנה אחרת. במילים פשוטות: הוא נחת על עמוד עם מידע של מישהו אחר, כאילו זה לגמרי “לפי הסדר”.
הוא ניסה לדווח לחברה, אבל לא מצא דרך ברורה לעשות זאת. לכן הוא ביקש להעביר את המקרה הלאה כדי שהליקוי יתוקן מהר. בסוף זה אכן קרה: לאחר שהתקלה הגיעה לידיעת Express, החברה תיקנה את הבאג ביום רביעי.
האם הלקוחות עודכנו? ומה עם בדיקות פנימיות?
כאן מגיע החלק המעצבן: Express לא הבהירה אם תיידע את הלקוחות על דליפת המידע. גם לא ברור אם החברה מתכוונת להפעיל תהליך מסודר לדיווח על תקלות אבטחה, כמו תוכניות ייעודיות שמאפשרות למוצאי באגים לדווח בצורה מאובטחת ומוגדרת.
עוד שאלות פתוחות: האם יש לה כלים טכניים לדעת מי ניגש למידע של לקוחות אחרים. אם יש לוגים, אפשר לעקוב. אם אין, זה הופך את הסיפור להרבה יותר “ניחוש”. מעבר לזה, לא התקבלה תשובה לשאלה האם Express מתכננת לדווח לרשויות מדינה בארצות הברית, כפי שנדרש בחוקי הודעות על אירועי דליפת מידע.
זה לא המקרה היחיד: עוד ועוד אתרים “משחררים” מידע
האירוע הזה מצטרף לרצף מקרים בחודשים האחרונים שבהם פרטי לקוחות נשארו חשופים לאינטרנט בגלל הגדרות שגויות או תקלות אבטחה שלא טופלו בזמן. למשל, בחודש דצמבר נמצא שחברת Home Depot חשפה מערכות פנימיות במשך שנה שלמה, והייתה בעיה גם בליידע את החברה בזמן. באותו חודש, Petco הורידה מהאוויר את האתר שלה אחרי שהתברר שהאתר של Vetco Clinics דלף מידע אישי על לקוחות וגם מסמכים רפואיים של חיות המחמד.
בגדול, המסר די ברור: גם כשאין “האקר על המסך”, לפעמים מספיק באג קטן במבנה האתר כדי להפוך מאגר לקוחות לספר פתוח. והפעם, לפחות, התיקון הגיע. עכשיו נשאר לראות אם Express תתנהל בשקיפות מול הלקוחות ותבהיר מה באמת קרה מאחורי הקלעים.
