アメリカの衣料品小売大手「エクスプレス(Express)」のウェブサイトにセキュリティ上の欠陥があり、顧客の個人情報や注文内容がインターネット上で誰でも閲覧できる状態になっていたことが明らかになりました。会社側は外部からの指摘を受けてシステムを修正したということです。
アメリカのIT専門メディアの報道によりますと、エクスプレスのオンラインストアにおいて、注文確認画面が第三者からアクセス可能な状態になっていました。閲覧可能だった情報には、顧客の氏名、電話番号、メールアドレスのほか、請求先や配送先の住所、購入した商品の詳細、クレジットカードの種類と下4桁の番号が含まれていたということです。
ウェブサイトのURLに含まれる注文番号を変更するだけで、他の顧客の注文情報が表示される状態になっていました。注文番号は規則的な連番が使われていたため、自動化されたプログラムなどを用いれば、大量の個人情報が容易に取得されるおそれがあったと指摘されています。実際に、検索エンジンの検索結果にも一部の顧客の注文情報が表示されていたということです。
この問題は、セキュリティの専門家が偶然発見しましたが、会社側に直接報告する窓口が見当たらなかったため、メディアを通じて指摘が行われました。エクスプレスは連絡を受けた後、速やかにシステムの欠陥を修正したということです。
エクスプレスの担当者は「顧客情報の保護を極めて重視しており、現在も調査を続けている」とコメントしています。一方で、情報が第三者に不正に取得されたかどうかを確認する技術的な手段があるのかや、影響を受けた顧客への通知を行う方針かどうかについては、明らかにしていないということです。
アメリカでは近年、企業の設定ミスやセキュリティ対策の不備により、顧客情報がインターネット上に公開される事案が相次いでいます。昨年12月にも、大手ホームセンターやペット用品大手のウェブサイトで同様の問題が発覚しており、企業のデータ管理体制が改めて問われています。