一件衣服没送到，先把隐私送上网了：Express 订单漏洞敲响零售业警钟

漏洞不炫技，但很致命

如果你在电商平台下过单，就一定见过“订单确认页”——上面有你的名字、收货地址、联系方式、购买商品，甚至还会露出银行卡后四位。它看起来像一张平平无奇的电子小票，问题在于，这种页面一旦被错误地暴露到公网，它就不是“小票”，而是别人拼凑你现实生活轨迹的入口。

TechCrunch 披露，美国服装零售商 Express 的网站最近就栽在这里。由于一个安全漏洞，外部人员可以查看其他顾客的订单详情和个人信息。更离谱的是，至少十几个订单页面甚至已经被搜索引擎收录，等于直接挂上了互联网的公告栏。暴露的信息包括姓名、电话、邮箱、邮寄地址、账单地址、配送地址、购买商品明细，以及支付卡类型和后四位数字。

这类新闻读起来常常没有“数据库被黑”“勒索软件攻击”那么惊心动魄，但从消费者感受来说，它可能更糟。因为它不需要高超技术，不需要复杂攻击链，只需要一个可预测的网址，或者一条被搜索引擎抓到的链接，就足以让普通用户的隐私裸奔。你买了什么、寄到哪里、用什么卡付的，别人都可能一眼看见。买衣服这件再日常不过的小事，忽然变成了隐私外泄的现场。

真正的问题，不只是一个页面露出来了

这次漏洞最让安全圈皱眉的地方，不只是“页面没设防”，而是它背后暴露出的一整套松散思路。发现问题的人并不是某个专门“打洞”的黑客，而是安全与隐私倡导者 Rey Bango。他原本是在帮家人调查一笔疑似欺诈消费，结果在 Google 上搜索订单号格式时，竟然看到了别人的订单页面。这种发现方式，几乎带着一点荒诞色彩：不是潜入，不是爆破，而是“顺手一搜”。

TechCrunch 随后验证，确实可以通过修改订单确认页的网址来查看其他客户信息。更麻烦的是，Express 使用的订单号大体上是连续的、顺序递增的。这意味着什么？意味着只要有人稍微动点自动化工具，就有机会批量枚举大量订单页面。网络安全里有个很朴素的原则：如果一个资源的访问控制只建立在“别人猜不到链接”，那它基本等于没有访问控制。把顺序订单号直接放进 URL，再把订单确认页暴露出去，这几乎是把门锁换成了门牌号。

这里还牵扯到一个常被企业忽视的机制：搜索引擎并不是问题制造者，但会把问题放大。如果页面能被公开访问、又没有正确设置禁止索引或身份验证，搜索引擎就可能把它们收进去。到了这一步，漏洞就不再只是“有人理论上能访问”，而是“任何人甚至可能通过搜索结果直接撞上”。很多公司总把安全问题想象成对抗顶级黑客，实际上，更常见的危险来自系统配置粗心、权限边界模糊，以及对互联网默认开放性的轻视。

更让人不安的是：谁来告诉用户？

Express 在 TechCrunch 联系后修复了漏洞，这当然是必要动作，但还远远不够。媒体追问公司是否会通知受影响用户，Express 没有给出明确答复；是否具备日志能力、能判断有没有人访问过他人订单信息，也没有说清楚；至于是否会按照美国各州数据泄露通报法律要求向监管方披露，官方同样回避了更多细节。

这种企业回应方式，几乎已经成了隐私事件里的固定剧本：我们高度重视、已经调查、目前没有更多评论。问题在于，消费者真正关心的从来不是公关腔，而是三个简单问题：我的信息有没有泄露？我会不会因此面临诈骗风险？接下来我该做什么？如果企业连这三件事都说不清，所谓“重视”就很容易沦为空话。

还有一个细节很刺眼：发现漏洞的人一开始甚至找不到合适的渠道通知 Express。Bango 最后不得不请媒体出面。这说明不少传统零售企业直到今天仍然没有建立像样的漏洞披露机制，甚至连一个清晰的安全联络窗口都没有。互联网公司这些年多少被安全事故教育过，开始设置 security@ 邮箱、漏洞赏金计划、披露政策页面；但很多零售商虽然生意早已全面数字化，安全治理思维却还停留在“网站能下单就行”的阶段。

说白了，今天的服装零售商早就不是单纯卖衣服的公司，而是半个数据公司。它们掌握着会员资料、购买偏好、物流轨迹、支付记录、营销画像。既然拿的是“数据公司”的筹码，就该承担“数据公司”的责任。不能前端做得像互联网平台，后台安全却还像十年前的连锁门店系统。

零售业为什么总在同一个坑里摔跤

这起事件之所以值得关注，不只是因为 Express 本身规模不小，更因为它发生在一个越来越熟悉的行业背景里：近几个月，零售和消费服务领域已经接连出现类似问题。TechCrunch 提到，2025 年 12 月，Home Depot 被研究人员发现内部系统长期暴露；同月，Petco 旗下 Vetco Clinics 也因网站泄露客户个人信息和宠物医疗文档而紧急下线。

你会发现，这些案例不一定都是“被攻破”，很多更像是“自己把门开着”。这类事故背后有几个行业共性。其一，传统零售企业数字化速度很快，历史系统却很重，线上商城、会员系统、客服工具、物流平台、第三方支付和营销 SaaS 一层叠一层，谁都能调接口，最后谁也说不清哪一层在暴露数据。其二，零售安全预算经常优先投向反欺诈、支付合规和促销高并发，用户隐私保护和漏洞治理反而容易被当作“后台问题”。其三，这个行业长期依赖外包和拼装式系统，功能上线很快，安全责任边界却很模糊。

还有一个容易被忽略的现实：订单数据的敏感程度，很多企业自己都低估了。表面看，它不像社保号、驾照号那么“高危”，但对诈骗分子来说，订单信息特别好用。因为它极其具体，容易构造可信场景。骗子一旦知道你最近在某平台买过什么、寄到哪里、大概什么时候下单，就可以伪装成客服、物流、支付平台，发起精准钓鱼。很多人之所以会上当，不是因为缺乏常识，而是因为对方说出的细节太真了。

从这个角度看，Express 这次泄露的并不只是几条网页记录，而是未来一串诈骗剧本的素材库。零售业如果还把这类事件当作“小问题”，那下一次付出代价的很可能不只是品牌声誉，还有消费者对整个线上购物体系的信任。

这件事真正拷问的是“默认安全”

技术上说，修这个漏洞未必复杂。给订单页面加严格身份验证，避免通过可枚举的顺序 ID 暴露资源，设置访问控制，屏蔽搜索引擎索引，完善日志和告警，建立漏洞披露渠道——这些都不是多么前沿的“黑科技”。麻烦在于，很多企业直到出事前，都没有把这些当作产品设计的一部分，而只是看作上线后的补丁任务。

这恰恰是今天数字商业世界最危险的错觉之一：大家都在谈 AI、个性化推荐、全渠道零售、会员增长，可真正决定用户是否敢继续下单的，往往不是首页改版得多漂亮，而是后台那扇门有没有锁好。消费者不会因为一家服装品牌会写生成式文案就原谅它泄露地址和电话。信任这件事，建立得很慢，崩塌却只要一个链接。

我也想起一个很有意思但略显尴尬的对比：很多互联网平台现在已经学会在用户看不见的地方做“零信任”、做权限最小化、做审计；而部分传统零售商到了 2026 年，仍在被最基础的 URL 枚举问题绊倒。你可以说这是一种技术债，也可以说这是管理层认知问题。安全从来不是纯技术部门的事，它本质上是公司有没有把用户当回事。

接下来，Express 面前至少有两个更重要的动作。一个是透明说明影响范围和处置方案，另一个是把安全报告入口和漏洞管理流程真正建立起来。否则，这次修掉的只会是一个洞，而不是打洞的土壤。

对普通消费者来说，这类新闻也不是“看过就算”。如果你曾在相关平台下单，未来一段时间最好留意可疑短信、物流通知、退款电话和“客服核验”邮件，尤其是那些能准确说出部分订单细节的联系。很多诈骗并不从偷银行卡开始，而是从偷走你的信任开始。

电商世界提供了前所未有的便利，但它也在悄悄收集一切关于我们的日常：穿什么、住哪里、何时下单、如何付款。行业如果不能把这些信息守住，那每一次点击“确认购买”，都可能变成一次对运气的下注。