Slickwraps大規(guī)模數(shù)據(jù)泄露本可以避免

被黑客入侵的網(wǎng)站，數(shù)據(jù)庫(kù)和公司如今已不是什么新鮮事物，但由于其影響范圍廣，疏忽大意或公開(kāi)宣傳，一些網(wǎng)站成為頭條新聞。幾乎所有皮膚制造商Slickwraps的客戶(hù)數(shù)據(jù)事件都具有所有這些要素，至少取決于您信任哪一方。該公司擁有被黑客入侵的權(quán)利，但僅針對(duì)相對(duì)較少的客戶(hù)詳細(xì)信息，并且僅在過(guò)去三天之內(nèi)，而披露此事的安全研究人員則聲稱(chēng)并非如此。不幸的是，雙方都應(yīng)為加劇本已不幸的事件負(fù)責(zé)。

上周五，一個(gè)名叫Lynx0x00的人將自己定位為網(wǎng)絡(luò)安全分析師，他在博客上詳述了他的不利經(jīng)歷，“報(bào)告”了Slickwraps服務(wù)器上的一個(gè)相當(dāng)嚴(yán)重且易于利用的漏洞。Lynx0x00的Medium和Twitter帳戶(hù)神秘地消失了，但是幸運(yùn)的是，互聯(lián)網(wǎng)從未真正忘記。那和足夠多的眼睛已經(jīng)看到并屏蔽了后代的帖子。

該安全研究人員詳細(xì)介紹了他如何訪問(wèn)Slickwraps服務(wù)器，如何獲得對(duì)各種服務(wù)的管理員訪問(wèn)權(quán)限以及如何竊取客戶(hù)數(shù)據(jù)，包括電子郵件和送貨地址以及客戶(hù)賬單信息。自從2月16日他首次試圖引起他們的關(guān)注以來(lái)，他還繼續(xù)敘述了他實(shí)際上是如何被公司忽略甚至被公司封鎖的，這迫使他只發(fā)表自己的發(fā)現(xiàn)。毫不奇怪，其他黑客團(tuán)體利用該信息對(duì)其進(jìn)行了成功測(cè)試。

直到星期六，Slickwraps才會(huì)發(fā)表公開(kāi)聲明，并通過(guò)電子郵件向客戶(hù)發(fā)送有關(guān)此事件的信息。它聲稱(chēng)它僅在2月21日發(fā)現(xiàn)了此事件，并立即限制了對(duì)暴露的非生產(chǎn)服務(wù)器的訪問(wèn)。它還聲稱(chēng)該漏洞僅暴露了客戶(hù)名稱(chēng)，用戶(hù)名和電子郵件地址，但是從上述黑客組織收到的客戶(hù)電子郵件似乎證明是相反的。

由于缺乏及時(shí)和誠(chéng)實(shí)的披露，因此很難確定應(yīng)該相信事件的哪個(gè)版本。公司輕描淡寫(xiě)這樣的事件，甚至撒謊以逃避現(xiàn)實(shí)或逃避訴訟的情況并不少見(jiàn)。另一方面，Lynx0x00的披露方法和其帳戶(hù)的突然失蹤也不能完全說(shuō)明安全研究人員的話(huà)。