أفادت "تك كرانش" في 16 أبريل أن شركة "إكسبرس" لبيع الأزياء بالتجزئة قامت بتصحيح موقعها الإلكتروني هذا الأسبوع بعد أن كشفت ثغرة أمنية عن تفاصيل طلبات العملاء ومعلوماتهم الشخصية. سمحت هذه الثغرة لأي شخص بالاطلاع على الأسماء والعناوين وبيانات الدفع الجزئية، مما أثار تساؤلات حول شفافية الشركة وامتثالها لقوانين اختراق البيانات. ويسلط دعاة الأمن الضوء على سهولة استغلال الثغرة، مما يثير مخاوف بشأن خصوصية المستهلكين.
عثر ري بانغو، وهو مدافع عن الأمن والخصوصية، على الثغرة أثناء تحقيقه في مشكلة منفصلة. كان يبحث في عملية شراء احتيالية على حساب أحد أفراد عائلته. كان هدفه الأولي هو مجرد التحقق من رقم طلب.
قاده هذا إلى جوجل. أدخل الرقم، على أمل تأكيد شرعيته. ما وجده فاجأه.
أظهرت نتائج البحث رابطًا لطلب مختلف تمامًا. هذا الرابط، عند النقر عليه، عرض تفاصيل عميل آخر كاملة. كان اكتشافًا غير متوقع.
أدرك بانغو على الفور خطورة الموقف. رأى أسماء وأرقام هواتف وعناوين بريد إلكتروني. كانت معلومات البريد والفواتير مرئية أيضًا.
حتى تفاصيل بطاقة الدفع الجزئية ظهرت. تم الكشف عن الأرقام الأربعة الأخيرة من بطاقة الائتمان. حاول الاتصال بـ "إكسبرس" مباشرة.
لم يجد آلية واضحة للإبلاغ عن الثغرات الأمنية. لم تقدم الشركة برنامجًا عامًا للكشف عن الثغرات. هذا النقص في قناة رسمية عقد الإفصاح المسؤول.
شعر بانغو بالإحباط بسبب عدم وجود خط اتصال مباشر بفريق أمن الشركة، فتواصل مع "تك كرانش"، طالبًا من المنفذ الإخباري التقني تنبيه بائع التجزئة. شعر أن هذه هي الطريقة الوحيدة لضمان حصول الثغرة على الاهتمام. أكدت "تك كرانش" نتائج بانغو.
تحققت المؤسسة الإخبارية من أنه بمجرد تغيير التسلسل الرقمي في عنوان الويب، يمكن للمرء الوصول إلى العديد من صفحات تأكيد طلبات العملاء. استخدمت "إكسبرس" أرقام طلبات متسلسلة إلى حد كبير. أدى هذا الاختيار التصميمي عن غير قصد إلى إنشاء مسار بسيط لجمع البيانات المحتمل.
يمكن للأدوات الآلية تصفح آلاف الطلبات بسهولة. سمحت الثغرة لأي شخص بالاطلاع على تفاصيل الشراء الشاملة. كشفت عن العناصر المحددة التي تم شراؤها.
كما كشفت عن هوية المشترين. وشمل ذلك الأسماء ومعلومات الاتصال وعناوين الشحن. كانت البيانات المكشوفة شخصية.
بعد أن اتصلت "تك كرانش" بـ "إكسبرس" في 16 أبريل، تحرك بائع التجزئة للملابس بسرعة. نفذت الشركة إصلاحًا يوم الأربعاء، لتصحيح الثغرة. أمن هذا الإجراء صفحات الطلبات المكشوفة.
تم احتواء التهديد الفوري. ومع ذلك، ظلت "إكسبرس" صامتة بشأن عدة نقاط حاسمة. لم تؤكد ما إذا كان العملاء المتأثرون سيتلقون إشعارًا.
كما لم تقدم أي تفاصيل حول أي خطط لنظام إبلاغ عن الثغرات موجه للجمهور. أثار هذا الصمت المزيد من التساؤلات. قدم جو بيريان، رئيس قسم التسويق في "إكسبرس"، بيانًا موجزًا لـ "تك كرانش". قال بيريان: "نحن نأخذ أمن وخصوصية معلومات العملاء على محمل الجد."
وأضاف: "نشجع أي شخص يحدد مخاوف أمنية محتملة على الاتصال بنا مباشرة." هذا البيان، على الرغم من كونه لغة شركات قياسية، افتقر إلى توجيهات محددة. لم يقدم طريقة واضحة للاتصال بالشركة بشأن القضايا الأمنية. واختتم بيريان قائلاً: "عند علمنا بهذه المشكلة، قمنا بالتحقيق ونواصل مراجعة الأمر وليس لدينا أي تعليق آخر في هذا الوقت." قدم الرد معلومات ملموسة قليلة.
ترك رد بيريان عدة أسئلة رئيسية دون إجابة. هذه ممارسة صناعية قياسية، غالبًا ما تُعتبر علامة على وضع أمني إلكتروني ناضج. كما لم يشر بيريان إلى ما إذا كانت "إكسبرس" تمتلك السجلات التقنية اللازمة لتحديد ما إذا كانت أطراف غير مصرح لها قد وصلت إلى بيانات العملاء قبل الإصلاح.
هذه السجلات حاسمة لتقييم نطاق الاختراق وللوفاء بالالتزامات القانونية. علاوة على ذلك، لم يرد على الاستفسارات حول ما إذا كانت "إكسبرس" ستكشف عن الحادث للمدعين العامين للولايات. غالبًا ما تتطلب قوانين إخطار اختراق البيانات الأمريكية مثل هذه الإفصاحات، خاصة عندما يتم اختراق المعلومات الشخصية.
"إكسبرس"، التي كانت في السابق شركة مدرجة في البورصة، تعمل الآن تحت ملكية WHP Global. تدير هذه الشركة العملاقة في مجال الأزياء أيضًا العديد من العلامات التجارية المعروفة الأخرى للبيع بالتجزئة، بما في ذلك آن كلاين وجوزيف عبود. تحتفظ "إكسبرس" بمئات المتاجر الفعلية في جميع أنحاء الولايات المتحدة والمكسيك وأمريكا اللاتينية.
يخدم وجودها عبر الإنترنت قاعدة عملاء كبيرة، مع معالجة ملايين المعاملات سنويًا. البنية التحتية الرقمية للشركة أساسية لعملياتها التجارية. تحمل الثغرة في هذا النظام تداعيات كبيرة، تؤثر على كل من عملائها المباشرين وسمعة علامتها التجارية الأوسع.
هذا الحادث في "إكسبرس" ليس حدثًا معزولًا. إنه يعكس نمطًا أوسع من الثغرات الأمنية عبر مختلف الصناعات. في ديسمبر، اكتشف باحث أمني أن أنظمة "هوم ديبوت" الداخلية كانت مكشوفة لمدة عام كامل.
واجه الباحث صعوبة كبيرة في تنبيه الشركة إلى الثغرة، مما يسلط الضوء على مشكلة شائعة في الأمن السيبراني للشركات. شهد الشهر نفسه قيام شركة "بيتكو" العملاقة للرعاية البيطرية والحيوانات الأليفة بإزالة موقعها الإلكتروني مؤقتًا. اكتشفت "تك كرانش" أن موقع عيادات "فيتكو" التابع لـ "بيتكو" كان يسرب معلومات العملاء الشخصية عن غير قصد.
كما كشف عن وثائق طبية حساسة للحيوانات الأليفة. تؤكد هذه الحالات تحديًا متكررًا للعديد من الشركات. إنها تكافح مع تكوينات الأمان الأساسية.
كما تفتقر إلى قنوات واضحة للإبلاغ عن الثغرات الخارجية. يشير هذا الاتجاه إلى مشكلة نظامية. يؤدي الكشف عن أسماء العملاء وعناوينهم وأرقام هواتفهم وعناوين بريدهم الإلكتروني ومعلومات الدفع الجزئية إلى مخاطر كبيرة.
يمكن أن يصبح الأفراد أهدافًا لعمليات احتيال تصيد مقنعة للغاية، حيث يستخدم المجرمون تفاصيل طلبات تبدو مشروعة لخداع الضحايا. يظل سرقة الهوية مصدر قلق خطير، خاصة عند دمجها مع معلومات أخرى متاحة للجمهور. قد تتبعها أنشطة احتيالية.
يمكن استخدام البيانات لهجمات الهندسة الاجتماعية المستهدفة، للتلاعب بالأفراد للكشف عن معلومات أكثر حساسية. بالنسبة لـ "إكسبرس"، فإن احتمال الإضرار بالسمعة كبير. يتوقع العملاء حماية بياناتهم الشخصية بعناية.
يؤدي الاختراق إلى تآكل هذه الثقة الأساسية. يمكن أن يؤدي إلى فقدان العملاء. هذا هو الرقم المهم: جعلت الثغرة "ما لا يقل عن اثني عشر" طلبًا للعملاء مرئيًا للجمهور في نتائج محركات البحث، وفقًا لـ "تك كرانش".
هذا مجرد ما تم *العثور* عليه بالصدفة. العدد الفعلي للسجلات المكشوفة المحتملة أعلى بكثير على الأرجح. طبيعة أرقام طلبات "إكسبرس" المتسلسلة تعني أن التعرض المحتمل كان واسعًا.
سمح بالعد المنهجي لآلاف، إن لم يكن مئات الآلاف، من السجلات. هذا ليس استغلالًا معقدًا. أزل الضوضاء والقصة أبسط مما تبدو عليه.
أدى اختيار تصميم أساسي، وهو الترقيم المتسلسل، بالاشتراك مع ضوابط الوصول غير الكافية، إلى إنشاء باب مفتوح على مصراعيه. كان إشرافًا أساسيًا في بنية النظام. غالبًا ما يتم التغاضي عن هذا النوع من الثغرات في التطوير. تختلف قوانين إخطار اختراق البيانات بشكل كبير حسب الولاية.
على سبيل المثال، يفرض قانون خصوصية المستهلك في كاليفورنيا (CCPA) والتشريعات المماثلة في ولايات أخرى متطلبات إبلاغ محددة وحقوق المستهلكين. يتطلب العديد منها من الشركات إبلاغ الأفراد المتأثرين، وفي بعض الحالات، المدعين العامين للولايات، بشأن الحوادث الأمنية ضمن أطر زمنية محددة. تختلف العتبات المحددة لهذه الإخطارات، اعتمادًا على نوع وحجم البيانات المكشوفة.
يثير عدم رد "إكسبرس" بشأن هذه الإفصاحات تساؤلات حول استراتيجيتها للامتثال. يشير صمت الشركة إما إلى نقاش داخلي أو قرار بتأجيل التصريحات العامة. يمكن أن يجذب هذا النهج تدقيقًا إضافيًا من المنظمين ودعاة الخصوصية.
السوق يخبرك بشيء. استمع. عندما تفشل شركة، خاصة بائع تجزئة كبير يتعامل مع بيانات العملاء الحساسة، في تنفيذ برنامج أساسي للكشف عن الثغرات، فإن ذلك يشير إلى مشكلة أعمق.
يشير إلى نقص محتمل في الاستثمار في تدابير الأمن السيبراني الاستباقية. كما يشير إلى انفصال محتمل بين الخطاب المؤسسي حول الخصوصية والتطبيق العملي. يتعلق الأمر بتعزيز ثقافة الأمن في جميع أنحاء المنظمة.
تبني العملية الشفافة الثقة مع كل من العملاء ومجتمع الأمن. إنه مكون أساسي للتجارة الرقمية الحديثة. تواجه الشركات العاملة عبر ولايات قضائية متعددة، مثل "إكسبرس"، شبكة معقدة من قوانين حماية البيانات الدولية. في هذا السياق، لـ "إكسبرس" عمليات في المكسيك وأمريكا اللاتينية.
تحمل كل منطقة لوائح خصوصية البيانات الخاصة بها. يتطلب الامتثال عبر هذه البيئات المتنوعة نهجًا قويًا ومتسقًا عالميًا لأمن البيانات. يمكن أن يصبح الخلل الأمني في منطقة واحدة مشكلة متعددة الولايات القضائية بسرعة، مما يعقد الاستجابات القانونية والعلاقات العامة.
هذا يضيف طبقات من التعقيد. - كشف موقع "إكسبرس" الإلكتروني عن بيانات العملاء الشخصية، بما في ذلك الأسماء والعناوين ومعلومات الدفع الجزئية، بسبب ثغرة أمنية تتعلق بأرقام الطلبات المتسلسلة. - اكتشف مدافع الأمن ري بانغو الثغرة، وبعد فشله في الإبلاغ عنها مباشرة، نبه "تك كرانش"، مما دفع "إكسبرس" بعد ذلك لإصلاح المشكلة. - قامت "إكسبرس" بإصلاح الثغرة لكنها لم تؤكد ما إذا كانت ستخطر العملاء المتأثرين أو ستنشئ برنامجًا رسميًا للكشف عن الثغرات، مما يثير تساؤلات حول الشفافية والامتثال. - يعكس هذا الحادث تحديًا صناعيًا أوسع نطاقًا يتعلق بتكوينات الأمان الأساسية وآليات الإبلاغ المتاحة عن الثغرات. سيكون التركيز الفوري على ما إذا كانت "إكسبرس" ستقرر في النهاية إخطار عملائها. سيكون هذا الإخطار خطوة حاسمة في الشفافية والامتثال لقوانين الولايات المختلفة، مما قد يمنع المزيد من التعقيدات القانونية.
يمكن للمنظمين، وخاصة المدعين العامين للولايات، بدء تحقيقات في الحادث، خاصة بالنظر إلى تردد الشركة في تأكيد خططها للإفصاح أو قدراتها على التسجيل. يجب على المستهلكين، في هذه الأثناء، أن يظلوا يقظين، ويراقبوا بياناتهم المالية وحسابات بريدهم الإلكتروني بحثًا عن أي نشاط مشبوه. يضع الحادث أيضًا ضغطًا على بائعي التجزئة الآخرين لمراجعة أنظمتهم بحثًا عن ثغرات مماثلة وإنشاء قنوات واضحة للإبلاغ عن الأمن.
إنه تذكير بأن الواجهات الرقمية تتطلب يقظة مستمرة. سيراقب السوق بالتأكيد الخطوة التالية لـ "إكسبرس".
النقاط الرئيسية
— - كشف موقع "إكسبرس" الإلكتروني عن بيانات العملاء الشخصية، بما في ذلك الأسماء والعناوين ومعلومات الدفع الجزئية، بسبب ثغرة أمنية تتعلق بأرقام الطلبات المتسلسلة.
— - اكتشف مدافع الأمن ري بانغو الثغرة، وبعد فشله في الإبلاغ عنها مباشرة، نبه "تك كرانش"، مما دفع "إكسبرس" بعد ذلك لإصلاح المشكلة.
— - قامت "إكسبرس" بإصلاح الثغرة لكنها لم تؤكد ما إذا كانت ستخطر العملاء المتأثرين أو ستنشئ برنامجًا رسميًا للكشف عن الثغرات، مما يثير تساؤلات حول الشفافية والامتثال.
— - يعكس هذا الحادث تحديًا صناعيًا أوسع نطاقًا يتعلق بتكوينات الأمان الأساسية وآليات الإبلاغ المتاحة عن الثغرات.
المصدر: تك كرانش