Express Perbaiki Celah Keamanan yang Mengekspos Data Pelanggan
Jakarta, 17 April 2026 – Perusahaan mode ternama, Express, telah memperbaiki celah keamanan pada situs webnya yang memungkinkan siapa saja untuk melihat rincian pesanan dan informasi pribadi pelanggan lain. Temuan ini, yang diperoleh secara eksklusif oleh TechCrunch, mengungkapkan bahwa setidaknya selusin pesanan pelanggan Express sempat terdaftar secara publik di hasil pencarian mesin pencari.
Celah keamanan tersebut mengekspos halaman konfirmasi pesanan di toko daring Express, yang menampilkan rincian pembelian dan identitas pembeli. Informasi yang terekspos mencakup nama pelanggan, nomor telepon, alamat email, alamat pos, penagihan, dan pengiriman. Selain itu, rincian pesanan seperti barang yang dibeli, serta informasi kartu pembayaran parsial, termasuk jenis kartu dan empat digit terakhir, juga ikut terungkap.
Express, sebuah peritel pakaian besar dengan ratusan toko di Amerika Serikat, Meksiko, dan Amerika Latin, kini dioperasikan oleh WHP Global. Perusahaan ini sebelumnya merupakan perusahaan publik.
Rey Bango, seorang advokat keamanan dan privasi, secara tidak sengaja menemukan celah tersebut saat menyelidiki pembelian palsu di akun anggota keluarganya. Ia kesulitan menemukan cara untuk melaporkan kerentanan tersebut kepada Express. Bango kemudian meminta TechCrunch untuk memberitahukan perusahaan demi perbaikan bug tersebut.
“Ketika saya mencoba mencari tahu apakah nomor pesanan tersebut diformat secara sah oleh Express menggunakan Google, saya melihat tautan ke pesanan lain dan informasi pesanan orang lain muncul!” ujar Bango kepada TechCrunch.
TechCrunch memverifikasi bahwa dengan mengubah alamat halaman konfirmasi pesanan, seseorang dapat melihat rincian pesanan dan informasi pribadi pelanggan lain. Express menggunakan nomor pesanan yang sebagian besar berurutan, sehingga memudahkan potensi penelusuran ribuan pesanan dengan mengubah nomor pesanan di alamat web menggunakan alat otomatis.
Setelah dihubungi oleh TechCrunch, Express memperbaiki celah tersebut pada hari Rabu. Namun, perusahaan tidak memberikan keterangan apakah akan memberi tahu pelanggan mengenai kelalaian keamanan ini.
Dalam tanggapannya, Kepala Pemasaran Express, Joe Berean, menyatakan, “Kami sangat serius menjaga keamanan dan privasi informasi pelanggan dan mendorong siapa pun yang mengidentifikasi potensi masalah keamanan untuk menghubungi kami secara langsung.”
“Setelah mengetahui masalah ini, kami melakukan investigasi dan terus meninjau masalah ini dan tidak memiliki komentar lebih lanjut saat ini,” tambah Berean.
Berean tidak merinci bagaimana pelanggan dapat menghubungi perusahaan atau apakah perusahaan berencana memperbarui situs webnya untuk menerima laporan celah keamanan, seperti program pengungkapan kerentanan. Ia juga tidak menyebutkan apakah perusahaan memiliki sarana teknis, seperti log, untuk memeriksa apakah ada pihak yang mengakses informasi pribadi pelanggan lain.
Eksekutif tersebut tidak menanggapi pertanyaan lanjutan, termasuk apakah Express berencana untuk melaporkan insiden ini kepada jaksa agung negara bagian, sebagaimana diwajibkan oleh undang-undang pemberitahuan pelanggaran data di AS.
Kelalaian keamanan Express ini merupakan insiden terbaru dalam beberapa bulan terakhir di mana informasi pelanggan terekspos ke internet akibat kesalahan konfigurasi atau kelalaian keamanan yang tidak disengaja. Pada bulan Desember, seorang peneliti keamanan menemukan bahwa Home Depot telah membiarkan sistem internalnya terekspos selama setahun, namun kesulitan untuk memberitahukan perusahaan mengenai insiden tersebut. Di bulan yang sama, raksasa perawatan hewan peliharaan dan kesehatan hewan peliharaan, Petco, menutup situs webnya setelah TechCrunch menemukan situs Vetco Clinics perusahaan membocorkan informasi pribadi pelanggan dan dokumen medis hewan peliharaan mereka.
Sumber: techcrunch
Refleksi: Cermin Digital Bagi Konsumen Indonesia
Berita mengenai celah keamanan yang dialami Express ini menjadi pengingat penting bagi konsumen di Indonesia. Seiring dengan meningkatnya transaksi daring, kesadaran akan keamanan data pribadi menjadi krusial. Meskipun Express adalah merek global, praktik pengelolaan keamanan data yang terekspos ini dapat menjadi pelajaran bagi peritel daring di Indonesia, baik skala besar maupun kecil, untuk proaktif dalam melindungi informasi pelanggan. Kegagalan dalam menjaga kerahasiaan data tidak hanya merugikan konsumen secara finansial dan privasi, tetapi juga dapat mengikis kepercayaan terhadap platform digital yang semakin terintegrasi dalam kehidupan sehari-hari masyarakat Indonesia.
