Slickwraps, sản xuất da vinyl cho điện thoại, máy tính bảng và các thiết bị điện tử khác, công bố tuần trước rằng nó đã bị vi phạm dữ liệu. Thông báo được đưa ra sau khi nhiều khách hàng nhận được Một email từ Slickwraps dường như được gửi bởi một tin tặc tuyên bố đã đánh cắp dữ liệu khách hàng.
Điều không bình thường về trường hợp này là cách tin tặc vi phạm các hệ thống Slickwraps của: dường như không phải bằng cách tự mình khám phá ra lỗ hổng, mà bằng cách đọc một bài viết vừa bị xóa từ một hacker đồng nghiệp ẩn danh. Điều đáng nói là Slickwraps có thể có bảo mật kém về mặt hài hước, khiến cả hai đều mở rộng đối với các vi phạm như thế này và chân phẳng khi trả lời bất kỳ mối quan tâm nào gây chú ý.
Trong bài đăng trên blog của mình, Slickwraps cho biết dữ liệu khách hàng trong một số cơ sở dữ liệu phi sản xuất của công ty đã bị công khai nhầm thông qua một công cụ khai thác và các cơ sở dữ liệu đó được truy cập bởi một bên trái phép. Slickwraps cho biết thông tin được truy cập bao gồm tên, email và địa chỉ, nhưng nó không bao gồm mật khẩu hoặc dữ liệu tài chính cá nhân. Nếu bạn đã từng kiểm tra với tư cách là khách, không có thông tin cá nhân nào của bạn bị xâm phạm, theo Slickwraps.
Công ty khuyến nghị người dùng thay đổi mật khẩu cho tài khoản Slickwraps của họ. Nó cũng nói rằng nó sẽ làm cho các cải tiến bảo mật tiến lên phía trước:
Điều này sẽ bao gồm tăng cường các quy trình bảo mật của chúng tôi, cải thiện việc truyền đạt các nguyên tắc bảo mật cho tất cả nhân viên của Slickwraps và làm cho nhiều tính năng bảo mật do người dùng yêu cầu của chúng tôi ưu tiên hàng đầu trong những tháng tới. Chúng tôi cũng đang hợp tác với một công ty an ninh mạng của bên thứ ba để kiểm toán và cải thiện các giao thức bảo mật của chúng tôi.
Hôm qua, CEO của Slickwraps, đã đăng một video xin lỗi long trọng trên Twitter, nơi ông nói rằng công ty đã bắt đầu làm việc trên một trang web mới với một trang tùy chỉnh vỏ điện thoại mới mà nó nhằm mục đích ra mắt trong năm nay.
Bài đăng trên blog của Slickwrapsát cũng đề cập đến việc một kẻ tấn công trên mạng đã gửi email cho khách hàng vào thứ Sáu – đó dường như là email bị hack từ [email protected]. Một số người dùng Twitter đã chia sẻ email bị hack, rõ ràng đã được gửi tới 377.428 địa chỉ email trong hồ sơ của công ty.
Người đã gửi email này cho biết họ đã học cách truy cập dữ liệu Slickwraps, bằng cách đọc một bài viết vừa bị xóa (lưu trữ ở đây) bởi một cá nhân đi theo bí danh Lynx0x00 trên Phương tiện và trên tài khoản Twitter hiện không tồn tại. Lynx0x00, có Twitter bio vào tháng 1, Nhà nghiên cứu bảo mật, White Hat Hacker, Not Axe, đã tuyên bố rằng trang tùy chỉnh vỏ điện thoại của Slickwraps có một lỗ hổng cho phép ai đó tải lên bất kỳ tệp nào vào bất kỳ vị trí nào trong thư mục cao nhất trên máy chủ của họ . Lynx0x00 cho biết họ đã sử dụng lỗ hổng đó để truy cập:
- Sơ yếu lý lịch của nhân viên SlickWraps hiện tại và trong quá khứ
- 9GB ảnh khách hàng tải lên công cụ tùy chỉnh trường hợp
- Tất cả chi tiết tài khoản quản trị viên SlickWraps, bao gồm cả băm mật khẩu
- Tất cả các địa chỉ thanh toán của khách hàng SlickWraps hiện tại và lịch sử
- Tất cả các địa chỉ giao hàng của khách hàng SlickWraps hiện tại và lịch sử
- Tất cả các địa chỉ email khách hàng SlickWraps hiện tại và lịch sử
- Tất cả số điện thoại khách hàng hiện tại và lịch sử của SlickWraps
- Tất cả lịch sử giao dịch khách hàng SlickWraps hiện tại và lịch sử
- Hệ thống quản lý nội dung của công ty
Trong bài đăng trên blog của họ, Lynx0x00 tuyên bố họ đã cố gắng liên hệ với Slickwraps bằng cách gắn thẻ công ty trong các tweet công khai và gửi Twitter DM và email để thông báo cho công ty về các lỗ hổng.
Phần này của câu chuyện có một chút kỳ lạ. Tại một thời điểm, @Slickwraps đã chặn Lynx0x00, nhưng @SlickwrapsHelp cuối cùng đã liên lạc với Lynx0x00 qua Twitter DM, dẫn đến một cuộc trò chuyện nơi Lynx0x00 yêu cầu được bỏ chặn:
Hình ảnh: Lynx0x00
Lynx0x00 sau đó đã gửi một DM dài tới @Slickwraps đe dọa sẽ công khai với các lỗ hổng nếu Slickwraps không tự làm như vậy:
:format(webp):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/19746804/7c5b5f82cdc9554bb385a7442a316376632cdd2b.png)
Hình ảnh: Lynx0x00
@Slickwraps sau đó tuyên bố tài khoản đã được điều hành bởi một bên thứ ba:
:format(webp):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/19746813/c8c91983c3d569fb56d494b850cdae9f2b27ddd7.png)
Hình ảnh: Lynx0x00
Lynx0x00 sau đó gửi email cho CEO của Slickwraps, để bảo anh ta kiểm tra DM DM của mình. Dường như Lynx0x00 đã tìm thấy email CEO CEO bằng cách xem qua các hồ sơ công ty được truy cập thông qua các lỗ hổng Slickwraps. Sau khi gửi email, Lynx0x00 đã bị chặn bởi @Slickwraps một lần nữa trong vòng ba phút.
Ngay bây giờ, không rõ ai đã gửi email đã gửi cho khách hàng của Slickwraps, và Lynx0x00 là ai, cũng như liệu hai người có được kết nối theo bất kỳ cách nào không. Lynx0x00 đã nói trong bài đăng trên blog của họ rằng họ có thể không phải là người duy nhất trong cơ sở dữ liệu của Slickwraps. The Verge đã liên hệ với một email dường như được liên kết với Lynx0x00 để yêu cầu nhận xét.
Trong bài đăng trên blog của mình, Slickwraps nói rằng việc khai thác đã được sửa chữa, rằng tất cả dữ liệu được bảo mật, và nó làm việc với một nhóm bảo mật không gian mạng bên thứ ba của Lọ để phân tích tình hình. FBI cũng đã mở một cuộc điều tra, công ty nói.
The Verge đã liên hệ với [email protected] để nhận xét nhưng chưa nhận được phản hồi. Số điện thoại trên công ty nhấn trang liên hệ đã hết dịch vụ và liên kết trên trang đó để gửi một liên kết email báo chí đến một địa chỉ email trống.
.
