Slickwraps是一家為iPhone和Mac之類的Apple設備開發外觀的公司,昨天遭受數據洩露,導致客戶信息(例如名稱和地址)洩露。
當進入資料庫的黑客向Slickwraps的超過370,000用戶的客戶群發送電子郵件,讓他們知道Slickwraps的安全性很差時,洩漏的消息浮出水面。
在漏洞發生之前,安全研究人員多次在Twitter上警告過Slickwraps網站上的漏洞(與創建外觀功能相關),該安全研究員在Lynx上關注Twitter,現在已刪除了所有推文。
Lynx於2月15日告知Slickwraps有關數據洩露的消息,並試圖在上周與該公司進行多次聯繫,正如在Medium上分享的一篇文章所概述的那樣,該消息現已被Medium暫停。 Lynx在試圖通知其安全漏洞後,忽略了他的電子郵件,甚至在Twitter上被Slickwraps阻止。
Lynx與Slickwraps的互動並不十分禮貌,他正在與客戶支持人員打交道,而根據現在已刪除的「中型」文章,他們顯然對正在發生的事情感到困惑,但Slickwraps公然忽略了有關數據洩露之前其安全性較差的多個警告。 Lynx說,他昨天沒有發送發送給Slickwraps客戶的電子郵件,這是在他的文章發表後發生的第三方數據洩露事件,但是他的Medium帖子被暫停並且他所有的推文都刪除了,他可能他以公開方式陷入困境,公開了該站點中的漏洞。
電子郵件發送出去並且客戶意識到數據洩露之後,Slickwraps最終對此情況發表了評論。 Slickwraps(總部位於美國)在推特上發布的最初聲明聲稱僅在2月21日仍聽說過「 2月22日」的數據洩露,這顯然是謊言,因為Lynx記錄了他試圖取得聯繫的嘗試與公司在Twitter上。 Slickwraps隨後刪除了該聲明,並在推特上發布了帶有正確日期的新聲明。從Slickwraps的聲明中:
我們最珍視的是用戶的信任。實際上,我們的整個業務模型都依賴於與不斷回頭的客戶建立長期信任。
我們之所以與您聯繫是因為我們犯了一個錯誤,違反了這種信任。 2月21日,我們發現某些非生產型資料庫中的信息被利用漏洞錯誤地公開了。在此期間,未經授權的一方訪問了資料庫。
該信息不包含密碼或個人財務數據。
該信息確實包含名稱,用戶電子郵件,地址。如果您曾經以「來賓」身份籤出,那麼您的任何信息都不會受到損害。
Slickwraps繼續說,對此事的監督「深表歉意」,並承諾要「從這個錯誤中學習」。建議用戶重置其帳戶密碼,並注意任何網絡釣魚企圖。
展望未來,Slickwraps表示將增強其安全流程,改善與Slickwraps員工的安全準則溝通,並使用戶要求的安全功能成為「頭等大事」。該公司表示,它還與第三方網絡安全公司合作,以審核和改進安全協議。
Slickwraps的數據洩露證明了滲透測試對於任何處理客戶數據的網站的重要性。這些天幾乎不可能避免數據洩露,但是客戶可以通過為每個站點使用唯一的密碼並在適當的地方使用兩因素身份驗證來保護自己。