大規(guī)模數(shù)據(jù)泄露本來(lái)是可以避免的

如今，被黑客攻擊的網(wǎng)站、數(shù)據(jù)庫(kù)和公司已經(jīng)不是什么新鮮事了，但一些人卻因?yàn)槠潺嫶蟮挠绊懥?、驚人的疏忽或公開的戲劇性而成為頭條新聞。 圍繞幾乎所有皮膚制造商

Slickwraps的客戶數(shù)據(jù)的事件都有所有這些元素，至少取決于你信任哪一方。 該公司承認(rèn)被黑客攻擊，但僅針對(duì)相對(duì)較少的客戶細(xì)節(jié)，僅在過(guò)去三天，而披露此事的安全研究人員聲稱相反。 不幸的是，雙方都有一點(diǎn)責(zé)任使本已不幸的事件惡化。

上周五，一位名叫Lynx0x00的人將自己定位為網(wǎng)絡(luò)安全分析師，他在博客中詳細(xì)描述了他的不利經(jīng)歷“報(bào)告”，這是一個(gè)相當(dāng)嚴(yán)重和容易利用Slickwraps服務(wù)器上的漏洞的人。 林克斯0x00的中型和Twitter賬戶神秘地消失了，但幸運(yùn)的是，互聯(lián)網(wǎng)從來(lái)沒(méi)有真正忘記。 這和足夠多的眼睛已經(jīng)看到和屏蔽了這些帖子為后代。

安全研究員詳細(xì)介紹了他如何能夠訪問(wèn)Slickwraps服務(wù)器，獲得管理訪問(wèn)各種服務(wù)，并竊取客戶數(shù)據(jù)，包括電子郵件和運(yùn)輸?shù)刂泛涂蛻魩涡畔ⅰ?他還講述了自從2月16日他第一次試圖引起他們的注意以來(lái)，他實(shí)際上是如何被公司忽視甚至封鎖的，迫使他簡(jiǎn)單地公布他的調(diào)查結(jié)果。 不出所料，其他黑客組織也紛紛對(duì)此信息進(jìn)行測(cè)試，取得了很大成功。

直到星期六，Slickwraps才會(huì)發(fā)表公開聲明，并通過(guò)電子郵件向客戶通報(bào)這一事件。 它聲稱，它只在2月21日發(fā)現(xiàn)了這起事件，并立即限制了對(duì)公開的非生產(chǎn)服務(wù)器的訪問(wèn)。 它還聲稱，這一違規(guī)行為只暴露了客戶姓名、用戶名和電子郵件地址，但客戶從上述黑客團(tuán)體收到的電子郵件似乎證明了這一點(diǎn)。

由于缺乏及時(shí)和誠(chéng)實(shí)的披露，很難確定事件的哪個(gè)版本是可信的。 對(duì)于公司來(lái)說(shuō)，淡化這類事件，甚至謊報(bào)事實(shí)，以保全面子或逃避訴訟并不少見。 另一方面，Lynx0x00的披露方法和他的賬戶突然消失也不能很好地描述安全研究者。