Slickwraps因安全漏洞泄露大量用户数据

近期，Slickwrap（一家为iPhone和Mac等Apple设备定制外壳的公司）公司披露了一起影响85多万个帐户的数据泄露事件，承认是他们造成了客户数据泄露。

Slickwrap是一家在线商店，提供各种智能手机、平板电脑、游戏机和笔记本电脑的保护壳。上周，该公司在一篇博客文章中表示，在2月21日，Slickwrap发现客户数据“因漏洞而错误地在网络上公开”。

Slickwraps的数据库由于缺乏充分的保护，导致客户的姓名、电子邮件地址、物理地址、电话号码和购买历史暴露在网络上。

不过访客数据和此事件无关联，也没有任何财务数据或明文帐户密码被泄露。

Slickwraps的CEO对外表示：“我们最重视用户的信任。事实上，我们的整个商业模式都依赖于与回头客建立长期的信任。很可惜我们犯了一个破坏这种信任的错误。”

在2月21日，一名“攻击者向与此次泄露有关的客户发送了电子邮件”。根据发布在Twitter上的邮件截图，此次泄露包括部分用户的数据，攻击者敦促相关用户在发现信息泄露后直接向该公司发邮件质问该事件。

Slickwrap是通过Twitter上的一条帖子得知此事的。网络安全专家Troy Hunt是Have I Been Pwned网站的所有者，Slickwrap随后与他进行了联系，确认了事件的真实性，然后通知了FBI。存在缺陷的服务器随后被关闭，漏洞被修补。

不过，宣布该网络安全问题存在的人，如Slashgear所指出的，名字是Lynx0x00。

一篇博客文章（现已删除，但可以在互联网档案中找到）记录了Slickwraps“糟糕的网络安全”是如何允许任何人上传文件到根目录，从而导致远程代码执。根据Lynx0x00的渗透测试报告，有一个名为upload.php文件出现了问题。

除了客户信息外，Lynx0x00还提供了API的凭证，这能让攻击者成为Slickwraps ZenDesk平台和后端CMS的控制者。

Lynx0x00声称，他多次尝试和Slickwraps沟通，但一直没有回信，最终他决定公开报告。目前还不清楚他写的文章被删除的原因。

泄露的数据已被添加到Have I Been Pwned，你可以在这搜索你的信息是否被泄漏。

Endicott表示:“我们对这一疏忽深感抱歉。我们承诺从这次错误中吸取教训，继续改进。我们将加强我们的安全流程，提升所有Slickwraps员工的安全意识，并在未来几个月将用户的安全需求作为我们的首要任务。”

此外，该公司还聘请了一家网络安全公司对现有的网络程序进行代码审计。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.zdnet.com/article/slickwraps-says-customer-trust-was-violated-in-avoidable-data-breach/