「当我用谷歌查订单号格式时,另一个顾客的订单信息直接跳了出来。」安全研究员雷·班戈(Rey Bango)这句话,揭开了美国服装零售巨头Express长达数月的安全裸奔。
TechCrunch独家披露:Express官网的订单确认页面存在致命漏洞——任何人只需修改网址中的订单编号,就能批量翻阅其他顾客的完整购物记录。更离谱的是,至少十几份真实订单已被谷歌等搜索引擎收录,在搜索结果里公开陈列。
漏洞有多低级?
Express的订单编号采用「大体连续」的序列号生成机制。这意味着攻击者无需破解密码、绕过防火墙,只需用自动化工具按顺序枚举数字,就能像翻电话簿一样遍历成千上万条订单。
泄露的信息维度令人咋舌:顾客姓名、电话、邮箱;邮政地址、账单地址、配送地址;购买的商品明细;以及支付卡类型和后四位卡号。对于诈骗分子而言,这几乎是一份可直接套用的「社会工程学工具包」。
讽刺的是,发现漏洞的班戈最初只是在调查家人的一笔欺诈交易。他本想确认订单号格式,却在谷歌搜索结果里撞见了陌生人的完整订单——这种「意外之喜」恰恰说明漏洞暴露范围之广。
漏洞报告通道形同虚设
班戈发现漏洞后,面临一个荒诞困境:找不到任何渠道向Express报告安全问题。
他最终选择通过TechCrunch转达,而非直接联系企业。这一细节暴露的深层问题,比漏洞本身更值得玩味。
Express的市场营销负责人乔·贝里安(Joe Berean)在回应中声称「认真对待客户信息安全」,并「鼓励发现潜在安全问题的人直接联系我们」。但当TechCrunch追问「如何联系」时,贝里安拒绝透露具体渠道。
更关键的是,Express没有漏洞披露计划(Vulnerability Disclosure Program),官网也未设置安全报告入口。对于一家拥有数百家门店、覆盖美国、墨西哥及拉丁美洲的大型零售商,这种「安全裸奔」状态堪称行业异类。
贝里安的回应还留下一串未解答的问号:公司是否保留访问日志?能否追溯谁查看了他人订单?是否计划向州总检察长披露此次事件以符合美国数据泄露通知法?所有追问均遭沉默以对。
修复速度与问责态度的落差
Express在TechCrunch联系后的周三完成了漏洞修补,技术响应称得上迅速。但修复之后呢?
公司拒绝说明是否通知受影响顾客。考虑到部分订单信息已被搜索引擎索引,「不通知」意味着相关顾客可能永远不知道自己曾「裸奔」于互联网。这种「修完即走」的处理逻辑,将合规成本转嫁给毫不知情的用户。
从产品设计视角审视,Express的漏洞并非技术难题,而是架构层面的懒惰。订单确认页面作为交易闭环的关键节点,本应实施多重校验:用户会话绑定、一次性令牌验证、或者至少的非连续随机编号。Express选择了最简单的实现路径,将安全责任推给「不会被猜到」的侥幸心理。
这种设计哲学在电商领域并不孤立。2023年以来,已有多起类似事件曝光:某家居品牌因订单编号可预测导致用户信息泄露,某健身应用因API缺乏鉴权让会员数据裸奔。Express的案例之所以刺眼,在于其规模与疏忽的反差——年营收数十亿美元的巨头,在基础安全实践上与小作坊无异。
连续编号的懒惰经济学
Express订单编号「大体连续」的设计,指向一个被低估的产品决策陷阱:技术债务的隐蔽积累。
连续编号在开发阶段有明确优势:易于调试、便于客服查询、数据库索引友好。但这些便利性建立在「内部系统」的假设之上。当同一编号成为外部可访问的URL参数时,安全边界便悄然崩塌。
更专业的做法并不复杂。Stripe等支付平台采用随机字符串作为订单标识符,长度足够抵抗暴力枚举。 Shopify等电商SaaS在订单确认环节嵌入短期有效的签名令牌,确保链接仅在特定会话、特定时段内可用。这些方案的成本增量微乎其微,却需要产品团队在设计初期将「外部可访问性」纳入考量。
Express的遗漏揭示了一个组织惯性:安全需求往往被归类为「后续迭代」,而非MVP(最小可行产品)的必备组件。当业务扩张、系统复杂度攀升,早期埋下的隐患便以指数级代价爆发。
漏洞披露机制的结构性缺失
班戈的遭遇触及一个更广泛的行业病灶:白帽黑客(指以善意目的寻找安全漏洞的研究人员)的报告通道阻塞。
全球范围内,拥有正式漏洞披露计划的企业仍是少数。根据HackerOne 2023年度报告,财富500强中仅约三分之一建立了漏洞赏金计划或协调披露机制。大量公司处于「报告无门」状态,迫使安全研究者通过媒体、社交平台或监管机构间接施压。
这种沟通断裂造成双重损耗。对企业而言,漏洞公开前的窗口期被无谓延长,声誉风险陡增。对研究者而言,善意行为伴随法律不确定性——美国《计算机欺诈与滥用法》的模糊边界,让「未经授权访问」的界定充满陷阱。
Express的回应话术堪称典型案例:口头欢迎报告,实操拒绝透明。贝里安「鼓励直接联系我们」的声明与「不透露联系方式」的行为形成悖论,将公关辞令与运营现实撕裂开来。
值得对比的是,同属于WHP Global旗下的其他时尚零售品牌是否共享类似架构缺陷。作为Express的母公司,WHP Global的投资组合包括Anne Klein、Joseph Abboud等多个品牌。若技术栈复用,风险可能呈扇形扩散。TechCrunch的报道未涉及这一维度,但市场理应追问。
搜索引擎的角色与责任
至少十几份Express订单被谷歌等搜索引擎收录,这一细节常被忽视,却指向另一个责任主体。
搜索引擎的爬虫机制默认抓取公开可访问的URL。当订单确认页面缺乏robots.txt限制、未设置no-index元标签时,私人信息便可能进入搜索索引。Express显然未实施这些基础防护,但搜索引擎是否应承担更高标准的主动过滤义务?
欧盟《数字服务法》已开始要求大型平台建立系统性风险管控机制,包括非法内容传播的预防。个人信息泄露虽非「内容」范畴,但搜索索引的放大效应使其影响倍增。谷歌的「被遗忘权」处理流程主要针对用户主动请求,对于企业端的安全疏漏缺乏自动响应机制。
这一灰色地带提示:数据泄露的归因链条正在延长。从直接责任方(Express)到基础设施层(搜索引擎),再到监管框架的适应性,每个环节的响应速度共同决定了损害半径。
顾客侧的风险量化
对于Express的终端用户,此次事件的具体威胁需拆解评估。
已泄露信息中,支付卡后四位与卡类型的组合,不足以直接完成欺诈交易,但可与其他数据源交叉验证。更现实的攻击场景是「钓鱼精准化」:诈骗者利用真实的订单详情(商品名称、配送地址、下单时间)构建高度可信的钓鱼邮件或电话脚本,诱导受害者泄露完整卡号或验证码。
邮政地址与邮箱的暴露,则开启身份盗窃的长期风险。美国邮政服务(USPS)的地址变更通知、各类账户的「验证邮件」机制,都可能成为攻击跳板。
Express拒绝披露受影响用户规模,使个人风险评估失去基准。若按「至少十几份订单被搜索引擎收录」推断,实际暴露数量级可能在数千至数万之间——考虑到订单编号的连续性和枚举工具的遍历效率,这一估算并不激进。
行业镜像:零售业的数字安全赤字
Express并非孤例。2023年11月,美国服装零售商Hot Topic因类似漏洞泄露数百万顾客信息;2024年初,某欧洲快时尚品牌的移动端API暴露用户完整订单历史。零售业的数字化转型速度与安全投入之间的剪刀差,正在制造系统性脆弱性。
这一结构性问题的根源在于利润模型的挤压。服装零售的净利润率通常在5%-10%区间,IT预算被优先导向转化率优化、库存管理系统等「可见」领域。安全支出作为成本中心,在缺乏监管强制力时极易被边缘化。
美国的数据泄露通知法呈现碎片化状态:50个州各自立法,触发条件、通知时限、处罚力度差异显著。这种监管环境为企业提供了「最低合规」的操作空间——Express是否向州总检察长披露,将取决于其对「个人信息的定义」和「风险阈值」的法律解释,而非统一的强制性标准。
欧盟《通用数据保护条例》(GDPR)的高额罚款(最高全球营收4%)曾推动跨国企业重构数据架构,但Express的主要市场在美国本土,欧盟规则的威慑力有限。这种监管套利空间,解释了为何同等规模的安全疏漏在欧美市场呈现差异化的发生频率。
数据收束
Express在TechCrunch介入后24小时内完成漏洞修复,却拒绝回应是否通知受影响顾客、是否留存访问日志、是否向监管机构披露——三个「否」的概率正在累积。至少十几份订单已被搜索引擎索引,订单编号的连续性设计意味着潜在暴露规模远超此数。班戈的遭遇则印证了一个残酷现实:在缺乏漏洞披露渠道的企业生态中,安全研究者被迫借助媒体完成本应由内部流程承担的功能。
这起事件的价值不在于技术复杂性,而在于其平庸性——连续编号、公开可访问的确认页面、缺失的报告通道,皆是初级错误。当一家年营收数十亿美元的零售商在这些环节集体失守,它测量的不是单个企业的疏忽程度,而是整个行业对「数字安全」的定价权重。顾客数据的货币化价值已被精确计算,其保护成本却仍停留在「尽量节省」的会计科目中。这种失衡的账本,正在以隐私泄露的形式逐笔清算。
热门跟贴