在线商店slickwraps泄露了85万个用户帐户-k8凯发天生赢家

在线商店slickwraps泄露了85万个用户帐户
作者:zdnet 发布时间:2020-02-24

slickwraps披露了一个数据泄露事件,影响了超过85万个用户帐户。

slickwraps是一家在线商店,为各种智能手机、平板电脑、游戏机和笔记本电脑提供外壳。上周,该公司在博客中表示,2月21日,slickwraps发现了客户记录,并且“错误地通过漏洞利用程序将其公开”。 

slickwraps数据库没有得到充分的保护,从而导致客户信息暴露,包括姓名,电子邮件地址,实际地址,电话号码和购买历史记录。 以访客身份结账的客户不涉及数据泄露,也没有涉及任何财务数据或明文帐户密码。 

slickwraps首席执行官乔纳森·恩迪科特(jonathan endicott)表示:“我们最珍视的是获得用户的信任。事实上,我们的整个商业模式都取决于与不断回头的客户建立长期信任。” “我们辜负了这种信任,犯了一个错误。”

该公司表示,2月21日,“攻击者通过电子邮件向与该泄露行为有关的客户发送了电子邮件”。该电子邮件的屏幕快照已发布到twitter,其中包含一部分用户数据,并 敦促客户直接向公司发送电子邮件,告知其信息泄漏。 

slickwraps通过twitter上的帖子得知了该漏洞,然后关闭了易受攻击的服务器,并修补了漏洞利用程序。 

然而,一个将其网络安全问题告知slickpacks的人也很让人感兴趣。正如slashgear所说,此人的名字是lynx0x00。

一篇现已被删除但可在互联网档案中找到的博客文章记录了slickwraps“糟糕的网络安全”如何允许任何人将文件上传到根目录,从而导致远程代码执行(rce)攻击和执行shell命令的能力。根据lynx0x00的渗透测试报告,有一个upload.php文件出错。

除了客户信息外,lynx0x00表示还提供了api凭据,它们能够使自己成为slickwraps zendesk平台和后端cms的管理者。 

lynx0x00声称曾多次尝试与slickwraps建立联系,但是警告还是被忽略了,并且该人在社交媒体上被屏蔽,导致该研究公开。现在还不知道为什么博客文章后来被删除了。

公开的数据已经添加到have i been pwned中,该搜索引擎可用于查看您的信息是否涉及数据泄露。总共有857,611个客户帐户被泄露。 

恩迪科特说:“我们对这一疏忽深感抱歉。” “我们承诺将从错误中吸取教训,并将不断改进。这将包括改善我们的安全流程,改善与所有slickwraps员工的安全准则沟通,以及在未来几个月内建立更多的安全功能以保护用户数据作为我们的首要任务。” 并且还聘请了外部网络安全公司来对现有安全流程进行审核。 


网站地图