StockX 是一個購買和銷售限量版運動鞋,手錶,手袋和手袋的現場市場 街頭服飾該公司宣布該運動鞋和街頭服裝購買平臺遭到黑客入侵。
未經授權的用戶能夠訪問客戶數據,作為事件響應的一部分,StockX強制為其客戶重置密碼。
上周,該公司發出電子郵件,指示用戶因強制安全更新而重置密碼。
在上周末, StockX開始向所有客戶發送電子郵件,說明 由於安全更新而需要重置密碼。
原來 StockX表示他們被警告有關客戶數據的可疑活動。該公司立即啟動了一項調查,使其能夠發現安全漏洞。
根據TechCrunch的說法,這是一個部分事實,因為一個無名的 暗網 賣家聯繫了TechCrunch 自稱超過680萬條屬於該公司的記錄。根據賣方的說法,5月份黑客竊取了數據。
「一位發言人最終告訴TechCrunch,該公司在其網站上」警告可疑活動「,但拒絕進一步置評。但這不是全部真相。「 TechCrunch 報導。
「一位未透露姓名的數據違規賣家聯繫了TechCrunch,聲稱黑客在5月份從網站上竊取了超過680萬條記錄。賣方拒絕透露他們是如何獲得數據的。在一個黑暗的網絡列表中,賣家將數據出售300美元。在撰寫本文時,有人已經購買了這些數據。「
賣家提供300美元的待售數據,他還為TechCrunch提供了1,000條記錄的樣本。TechCrunch我們聯繫了客戶並驗證了數據的真實性。
暴露的數據包括姓名,電子郵件地址,哈希密碼(鹽漬MD5)以及其他個人資料信息,如鞋碼和交易貨幣。受損數據還包括用於內部目的的設備信息和其他信息。該 好消息是沒有暴露財務數據。
「我們被警告可能涉及客戶數據的可疑活動。在得知可疑活動後,我們立即展開全面的法醫調查,並聘請第三方數據事件和法醫專家協助。「數據洩露通知。「雖然我們的調查仍在進行中,但迄今為止的法醫證據表明,未知的第三方能夠訪問某些客戶數據,包括客戶姓名,電子郵件地址,送貨地址,用戶名,散列密碼和購買歷史記錄。從我們迄今為止的調查來看,沒有證據表明客戶的財務或支付信息受到了影響。「
該公司宣布對其基礎設施進行了一些改變,以減輕可疑活動。這些基礎設施變化包括
系統範圍的安全更新;
所有客戶密碼的完整密碼重置,並通過電子郵件向客戶發出警告,提醒他們重置密碼;
所有伺服器和設備上的高頻憑證輪換
我們的雲計算周邊鎖定
當時該公司沒有透露受影響的受害者人數或有關黑客的詳細信息。
「我們調查時, StockX將繼續根據需要採取額外措施,以保護我們客戶的隱私。與此同時,出于謹慎的考慮,我們建議如果您將StockX密碼用於其他帳戶,也可以更改這些密碼。「公司總結道。
對此,我們能做些什麼來保障數據隱私呢?
1、及時更新軟體修復漏洞,保障數據的隱私安全;
2、更換弱密碼,使用強密碼並定期進行修改;
3、定期檢查網絡環境,當使用公共網絡及WIFI發送郵件時,使用加密郵件;
4、從官方下載軟體,不隨意在網上下載無資質保護的軟體使用;
5、對於陌生郵件要仔細核對來源,不隨意點擊不明郵件和附件。
對於企業而言:
1、對作業系統進行及時更新,堵塞作業系統的安全漏洞
通過定期對作業系統進行升級和更新的辦法有效堵塞作業系統的安全漏洞,從而滿足作業系統的安全性能指標,提高作業系統的防禦能力。所以,我們應在網絡使用過程中,對作業系統進行及時更新,防患於未然。
2、在網絡終端系統中安裝殺毒軟體,提高防禦能力
為了保證網絡終端能夠滿足安全性能要求,我們應在網絡終端系統中安裝殺毒軟體,定期對網絡終端系統進行殺毒,保證網絡終端系統能夠抵禦病毒攻擊,提高網絡終端系統的安全性。
3、採用信息加密技術,提高資料庫的安全性
結合資料庫的使用特點,對資料庫中的信息採取加密技術,防止資料庫中的數據被盜用,提高數據的安全性。
4、部署SSL證書,使用HTTPS加密傳輸協議
HTTPS是一項相對安全的加密傳輸協議,是HTTP的升級版。HTTPS=HTTP+SSL,其中SSL及其繼任者TLS是為網絡通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網絡連接進行加密,防止傳輸數據被他人竊取、窺視或篡改。