INTRODUÇÃO: A gigante do varejo de moda Express corrigiu uma falha crítica de segurança em seu site que expunha publicamente os dados pessoais e os detalhes dos pedidos de seus clientes. A vulnerabilidade, descoberta por acidente e reportada exclusivamente pelo TechCrunch, permitia que qualquer pessoa acessasse informações sensíveis de compras realizadas na loja online.
DESENVOLVIMENTO: A falha tornava as páginas de confirmação de pedido acessíveis sem autenticação, revelando nomes, números de telefone, endereços de e-mail, endereços postais e de entrega, detalhes dos itens comprados e até informações parciais de cartão de pagamento. O problema foi agravado pelo uso de números de pedido sequenciais, o que facilitava a varredura automatizada de milhares de registros. Rey Bango, um defensor da segurança digital, descobriu o bug ao investigar uma compra fraudulenta, mas não encontrou um canal direto para reportar a vulnerabilidade à empresa, recorrendo então à imprensa.
CONCLUSÃO: Após ser contatada, a Express corrigiu a falha, mas se recusou a comentar se notificará os clientes afetados sobre o vazamento. O caso evidencia riscos persistentes na segurança de e-commerces e a importância de canais claros para reporte de vulnerabilidades, protegendo tanto os consumidores quanto a reputação das marcas.
