上周,制造手机、平板电脑和其他电子产品的乙烯基皮的slickwraps宣布,它遭受了数据泄露。 这一公告发布之前,许多客户收到了一封来自Slickwraps的电子邮件,该邮件似乎是由一名声称窃取了客户数据的黑客发送的。
这起案件的不同寻常之处在于,黑客显然是如何破坏了Slickwraps的系统的:不是通过自己发现漏洞,而是通过阅读一个匿名黑客同伴现在删除的中型帖子。 这一结论是,Slickwraps可能具有滑稽的不良安全性,使它既能广泛地面对这样的漏洞,也能在对提请其注意的任何关切作出反应时毫不迟疑地采取行动。
Slickwraps在博客中表示,该公司一些非生产数据库中的客户数据“被错误地通过漏洞公开”,这些数据库“被未经授权的一方访问”。 根据Slickwraps的说法,如果你曾经作为客人退房,你的个人信息都没有被泄露。
该公司建议用户更改其Slickwraps帐户的密码。 它还表示,将使安全改进工作向前推进:
这将包括加强我们的安全流程,改进对所有Slickwraps员工的安全指南沟通,并在未来几个月中将更多用户要求的安全功能作为我们的首要任务。 我们还与第三方网络安全公司合作,审计和改进我们的安全协议。
昨天,Slickwraps的首席执行官在Twitter上发布了一段严肃的道歉视频,他说,该公司已经开始在一个新的网站上工作,其中有一个新的手机外壳定制页面,该页面将于今年推出。
斯利奎拉给我们客户的信息pic.twitter.com/z9huO9oN88
Slickwraps的博客文章还提到,“攻击者”在周五给客户发了邮件——这似乎是来自hello@slickwraps.com的黑客邮件。 一些Twitter用户分享了被黑客攻击的电子邮件,这封邮件显然被发送到公司记录中的377,428个电子邮件地址。
嗯,那是一个很大的老远足从@Slick Wraps pic.twitter.com/28SOEMIBZ9
发送这封电子邮件的人说,他们学习如何访问Slickwraps的数据,通过阅读一个人现在删除的媒体帖子(在这里存档),该人的别名Lynx0x00在媒体上和他们现在不存在的Twitter帐户。 Lynx0x00,其Twitter1月份的简历上写道,“安全研究员,白帽黑客,而不是Axe”声称,Slickwraps的手机外壳定制页面有一个漏洞,允许某人“将任何文件上传到服务器最高目录的任何位置”。
在他们的博客文章中,Lynx0x00声称他们试图联系Slickwraps,方法是在公众推特上给公司贴上标签,并发送Twitter、DM和电子邮件,向公司通报漏洞。
故事的这一部分变得有点奇怪。 有一次,@Slickwraps阻止了Lynx0x00,但@Slickwraps帮助最终通过TwitterDM联系了Lynx0x00,这导致了Lynx0x00要求畅通的对话:
Lynx0x00然后发送了一个长DM到@Slickwraps,威胁说如果Slickwraps本身没有公开漏洞:
@Slickwraps然后声称该账户由第三方管理:
林克斯0x00然后给Slickwraps的首席执行官发电子邮件,告诉他检查他的TwitterDMS。 似乎Lynx0x00通过查看通过Slickwraps漏洞访问的公司记录找到了首席执行官的电子邮件。 发送电子邮件后,Lynx0x00再次被@Slickwraps“在三分钟内”阻止。
目前,尚不清楚是谁发送了发送给Slickwraps客户的电子邮件,谁是Lynx0x00,以及这两者是否以任何方式连接。 Lynx0x00在他们的博客文章中确实说,在Slickwraps的数据库中,他们“可能不是唯一”。 Verge已联系到一封似乎与Lynx0x00相关的电子邮件,要求置评。
在博客文章中,Slickwraps说,漏洞已经修复,“所有数据都得到了保护”,它正在与一个“第三方网络安全团队”合作分析情况。 该公司表示,联邦调查局也已展开调查。
Verge向hello@slickwraps.com征求意见,但尚未收到答复。 公司的新闻联系页面上的电话号码已停用,该页面上发送新闻电子邮件链接到空白电子邮件地址的链接。