时尚服装零售商 Express 近日修复了其官方网站上的一处安全漏洞。此前，该漏洞曾允许任何人查看其他客户的订单详情和个人信息，相关情况由科技媒体 TechCrunch 披露。

据介绍，问题出在 Express 在线商店的订单确认页面。部分订单确认页面被暴露在公开互联网上，并被网络搜索引擎收录，至少有十几名 Express 客户的订单出现在搜索结果中。

这些页面显示的内容包括：客户姓名、电话号码和电子邮件地址；邮寄地址、账单地址和送货地址；订单详情（包括所购商品）；以及部分支付卡信息，如卡类型和卡号后四位。

Express 是一家大型服装零售商，在美国、墨西哥及拉丁美洲拥有数百家门店。该公司曾为上市公司，目前由 WHP Global 运营，后者还拥有多家时尚及零售品牌。

此次漏洞最初由安全与隐私倡导者 Rey Bango 发现。Bango 在调查家人账户上一笔涉嫌欺诈的订单时，尝试通过谷歌查询订单号格式是否为 Express 订单号，在搜索结果中意外看到另一笔订单的链接，并由此打开了他人订单信息。

Bango 表示，他未能在 Express 网站上找到报告安全问题的渠道，随后请求 TechCrunch 代为联系该公司。TechCrunch 随后进行验证发现，通过调整订单确认页面的网址参数，可以访问其他客户的订单和个人信息。

报道指出，Express 使用的订单号大多为顺序编号，这意味着如果利用自动化网络工具批量修改网址中的订单号，理论上可能浏览大量订单记录。

在 TechCrunch 就此事联系 Express 后，该公司于周三修复了相关漏洞。但 Express 未说明是否计划就此次安全事件通知受影响客户。

Express 市场营销负责人 Joe Berean 在接受 TechCrunch 采访时表示，公司“非常重视客户信息的安全与隐私”，并“鼓励任何发现潜在安全问题的人直接联系我们”。

Berean 称，公司在获悉相关问题后已展开调查，并将持续审查此事，目前暂无进一步评论。他未说明客户应通过何种方式与公司联系，也未透露公司是否计划在网站上增加接收安全漏洞报告的机制，例如建立漏洞披露计划。

Berean 亦未回应公司是否具备通过日志等技术手段检查是否有第三方访问其他客户个人信息的问题，也未就 Express 是否会依据美国相关数据泄露通知法律向各州检察长报告此事件作出回应。

报道指出，Express 此次事件是近几个月来因配置错误或无意安全疏忽导致客户信息暴露于互联网的最新案例之一。

去年 12 月，一名安全研究员发现家居建材零售商 Home Depot 的内部系统曾长时间暴露在互联网上，持续时间长达一年，但在尝试提醒公司时遇到困难。同月，宠物医疗及健康企业 Petco 在 TechCrunch 发现其 Vetco Clinics 网站泄露客户个人信息及宠物医疗文件后，关闭了该网站。