Default
Door Remote - 16 Apr 2026
Modegigant Express heeft zijn website gepatcht om een beveiligingsfout te verhelpen waardoor iedereen de bestelgegevens en persoonlijke informatie van anderen kon bekijken, zo heeft TechCrunch exclusief vernomen. Minstens een dozijn klantenbestellingen van Express waren publiekelijk vermeld in de resultaten van zoekmachines.
Door het beveiligingslek werden orderbevestigingspagina’s in de online winkel van Express zichtbaar, waardoor details over aankopen werden onthuld en wie deze heeft gedaan.
De blootgestelde informatie bevatte klantnamen, telefoonnummers en e-mailadressen; post-, factuur- en afleveradressen; bestelgegevens, inclusief de artikelen die een klant heeft gekocht; en gedeeltelijke betaalkaartinformatie, inclusief het kaarttype en de laatste vier cijfers.
Express is een grote kledingretailer met honderden winkels in de Verenigde Staten, Mexico en Latijns-Amerika. Het ooit beursgenoteerde bedrijf wordt nu gerund door WHP Global, dat ook eigenaar is van verschillende mode- en retailgiganten.
Rey Bango, een voorstander van beveiliging en privacy, ontdekte de fout per ongeluk nadat hij een frauduleuze aankoop op de rekening van een familielid had onderzocht, maar vond geen manier om de fout aan Express te melden. Bango vroeg TechCrunch om het bedrijf te waarschuwen in een poging de bug te verhelpen.
"Toen ik met Google probeerde op te zoeken of het bestelnummer een legitiem opgemaakt Express-bestelnummer was, zag ik een link naar een andere bestelling en kwam de bestelinformatie van iemand anders naar voren!" Bango vertelde TechCrunch.
TechCrunch verifieerde dat je het adres van de webpagina voor de bestelbevestiging kon aanpassen om de bestelling en persoonlijke informatie van andere klanten te bekijken. Express gebruikt bestelnummers die grotendeels opeenvolgend zijn, waardoor het eenvoudig is om duizenden bestellingen te doorlopen door het bestelnummer in het webadres te wijzigen met behulp van geautomatiseerde webtools.
Nadat we contact hadden opgenomen met Express, heeft de kledinggigant woensdag het probleem verholpen, maar wil niet zeggen of het van plan is klanten op de hoogte te stellen van het beveiligingslek.
Toen hij voor commentaar werd benaderd, zei Joe Berean, hoofd marketing van Express, tegen TechCrunch: “We nemen de veiligheid en privacy van klantinformatie serieus en moedigen iedereen die een potentieel beveiligingsprobleem identificeert aan om rechtstreeks contact met ons op te nemen.”
“Toen we ons bewust werden van deze kwestie, hebben we de zaak onderzocht en blijven we deze beoordelen en hebben we op dit moment geen verder commentaar”, aldus Berean.
Berean wil niet zeggen hoe klanten contact kunnen opnemen met het bedrijf, en geeft ook niet aan of het bedrijf plannen heeft om zijn website bij te werken om meldingen van beveiligingsfouten te ontvangen, zoals een programma voor het vrijgeven van kwetsbaarheden. Hij zei niet of het bedrijf over de technische middelen beschikt, zoals logs, om te controleren of iemand toegang heeft gehad tot de persoonlijke gegevens van andere klanten.
De directeur reageerde niet op vervolgvragen, ook niet of Express van plan was het incident bekend te maken aan de procureurs-generaal, zoals vereist door de Amerikaanse wetgeving inzake melding van datalekken.
Het beveiligingsgebrek van Express is het laatste incident van de afgelopen maanden waarbij de informatie van klanten op internet werd blootgesteld vanwege verkeerde configuraties of onbedoelde beveiligingsfouten.
In december ontdekte een beveiligingsonderzoeker dat Home Depot zijn interne systemen een jaar lang had blootgelegd, maar moeite had om het bedrijf op de hoogte te stellen van het incident. In dezelfde maand verwijderde veterinaire en huisdierenwelzijnsgigant Petco zijn website nadat TechCrunch ontdekte dat de Vetco Clinics-site van het bedrijf persoonlijke gegevens van klanten en de medische documenten van hun huisdieren verspreidde.
Door het beveiligingslek werden orderbevestigingspagina’s in de online winkel van Express zichtbaar, waardoor details over aankopen werden onthuld en wie deze heeft gedaan.
De blootgestelde informatie bevatte klantnamen, telefoonnummers en e-mailadressen; post-, factuur- en afleveradressen; bestelgegevens, inclusief de artikelen die een klant heeft gekocht; en gedeeltelijke betaalkaartinformatie, inclusief het kaarttype en de laatste vier cijfers.
Express is een grote kledingretailer met honderden winkels in de Verenigde Staten, Mexico en Latijns-Amerika. Het ooit beursgenoteerde bedrijf wordt nu gerund door WHP Global, dat ook eigenaar is van verschillende mode- en retailgiganten.
Rey Bango, een voorstander van beveiliging en privacy, ontdekte de fout per ongeluk nadat hij een frauduleuze aankoop op de rekening van een familielid had onderzocht, maar vond geen manier om de fout aan Express te melden. Bango vroeg TechCrunch om het bedrijf te waarschuwen in een poging de bug te verhelpen.
"Toen ik met Google probeerde op te zoeken of het bestelnummer een legitiem opgemaakt Express-bestelnummer was, zag ik een link naar een andere bestelling en kwam de bestelinformatie van iemand anders naar voren!" Bango vertelde TechCrunch.
TechCrunch verifieerde dat je het adres van de webpagina voor de bestelbevestiging kon aanpassen om de bestelling en persoonlijke informatie van andere klanten te bekijken. Express gebruikt bestelnummers die grotendeels opeenvolgend zijn, waardoor het eenvoudig is om duizenden bestellingen te doorlopen door het bestelnummer in het webadres te wijzigen met behulp van geautomatiseerde webtools.
Nadat we contact hadden opgenomen met Express, heeft de kledinggigant woensdag het probleem verholpen, maar wil niet zeggen of het van plan is klanten op de hoogte te stellen van het beveiligingslek.
Toen hij voor commentaar werd benaderd, zei Joe Berean, hoofd marketing van Express, tegen TechCrunch: “We nemen de veiligheid en privacy van klantinformatie serieus en moedigen iedereen die een potentieel beveiligingsprobleem identificeert aan om rechtstreeks contact met ons op te nemen.”
“Toen we ons bewust werden van deze kwestie, hebben we de zaak onderzocht en blijven we deze beoordelen en hebben we op dit moment geen verder commentaar”, aldus Berean.
Berean wil niet zeggen hoe klanten contact kunnen opnemen met het bedrijf, en geeft ook niet aan of het bedrijf plannen heeft om zijn website bij te werken om meldingen van beveiligingsfouten te ontvangen, zoals een programma voor het vrijgeven van kwetsbaarheden. Hij zei niet of het bedrijf over de technische middelen beschikt, zoals logs, om te controleren of iemand toegang heeft gehad tot de persoonlijke gegevens van andere klanten.
De directeur reageerde niet op vervolgvragen, ook niet of Express van plan was het incident bekend te maken aan de procureurs-generaal, zoals vereist door de Amerikaanse wetgeving inzake melding van datalekken.
Het beveiligingsgebrek van Express is het laatste incident van de afgelopen maanden waarbij de informatie van klanten op internet werd blootgesteld vanwege verkeerde configuraties of onbedoelde beveiligingsfouten.
In december ontdekte een beveiligingsonderzoeker dat Home Depot zijn interne systemen een jaar lang had blootgelegd, maar moeite had om het bedrijf op de hoogte te stellen van het incident. In dezelfde maand verwijderde veterinaire en huisdierenwelzijnsgigant Petco zijn website nadat TechCrunch ontdekte dat de Vetco Clinics-site van het bedrijf persoonlijke gegevens van klanten en de medische documenten van hun huisdieren verspreidde.