主要观点：作者向专门销售二手硬盘的 goHardDrive 退货时，发现其意外公开了数千名客户的详细信息，包括姓名、地址、邮箱等，估计影响 10k 到 100k 客户，goHardDrive 尝试修复但措施不足，最终移除了 RMA 状态检查页面，作者还提及该公司退货流程糟糕。
关键信息：

• 退货时输入 RMA 号可查看自身及其他客户私人信息，表单未加密且易被攻击。
• 估计影响客户数在 10k 到 100k 之间，goHardDrive 最初称 3 - 5 个工作日内修复，后改为要求客户输入邮编和门牌号，仍存在漏洞，最终移除了 RMA 状态检查页面。
• 作者询问是否有漏洞赏金，goHardDrive 称无此计划仅退款 20 美元。
• 作者讲述退货经历，goHardDrive 流程糟糕，需重新输入订单和地址信息，不承担退货运费，也未发送邮件确认或更新。
  重要细节：
• 表单 URL 为https://ghdwebapps.com/rma/check?rmaNo=GHD12345&fromButton=1。
• 安全研究员在 Google 网络 API 上每秒可做 40k HTTP 请求，推测攻击者在 goHardDrive 上每秒可测试 1k 可能性，约 1 分钟内有 50%机会猜对。
• 有用户称 goHardDrive 换货快且付运费，而作者两次购买的硬盘都坏了，退货流程繁琐且无邮件通知。