服装零售商 Express 曾将客户个人信息和订单详情暴露在互联网上

Daily Signal

来源：TechCrunch 原文链接：点击查看原文 作者：Zack Whittaker 发布时间：2026-04-16T12:39:56

核心摘要

TechCrunch 披露，Express 网站此前存在安全漏洞，任何人都可能查看其他用户的订单确认页面和个人信息。问题在媒体联系后已被修复，但公司未说明是否会通知受影响客户。

漏洞暴露了订单确认页面 服装零售商 Express 已修复一个网站安全漏洞。这个漏洞曾导致他人的订单详情和个人信息可以被公开访问，甚至至少有十几笔订单出现在搜索引擎结果中。TechCrunch 表示，暴露的信息包括客户姓名、电话号码、电子邮件地址、邮寄和账单地址、购买商品明细，以及支付卡类型和后四位等部分支付信息。 ## 问题来自可被枚举的订单链接 最早发现这一问题的是安全与隐私倡导者 Rey Bango。他在调查家人账户上的一笔异常订单时，尝试通过 Google 搜索订单号格式，结果意外打开了其他人的订单页面。TechCrunch 随后验证，只要修改订单确认页面 URL 中的订单编号，就可能查看到其他用户的信息，而 Express 使用的订单号又大致按顺序生成，这意味着攻击者理论上可以借助自动化工具批量遍历大量订单页面。 ## Express 修了漏洞，但披露态度依然含糊 在收到媒体联系后，Express 已于周三修复该漏洞。不过，公司并未说明是否会通知客户，也没有明确回应是否具备日志等技术手段，用于判断是否有人访问过这些暴露数据。TechCrunch 还提到，Express 没有对外提供清晰的漏洞上报通道。对一家拥有数百家门店的大型零售商来说，这起事件再次说明，很多面向消费者的网站并不是在遭遇高级黑客攻击后才泄露数据，更多时候是因为基本配置和访问控制出了问题。

来源

• TechCrunch