Slickwraps là một trong những người bán vinyl nổi tiếng nhất cho máy tính, điện thoại di động, máy tính bảng, máy chơi game và các loại sản phẩm khác. Nếu bạn đã từng mua bất cứ thứ gì từ Slickwraps (không có PayPal hoặc các dịch vụ tương tự khác), đã đến lúc thay thế thẻ tín dụng của bạn, bởi vì công ty đã trải qua một số vi phạm dữ liệu ảnh hưởng đến tất cả dữ liệu của khách hàng.
Vi phạm bắt đầu khi nhà nghiên cứu bảo mật 'Lynx' tìm cách tải tệp lên thư mục gốc của máy chủ Slickwraps (phiên bản lưu trữ), thông qua một hình thức đặc biệt để tải hình ảnh mặt nạ trên trang web của công ty. Từ đó, ông tuyên bố có quyền truy cập vào các chi tiết quản trị, địa chỉ thanh toán và giao hàng của khách hàng, số điện thoại, thông tin API cho dịch vụ khách hàng và tài khoản truyền thông xã hội và các dữ liệu khác. Nhà nghiên cứu 'tiết lộ' vi phạm bản quyền trên Slickwraps và bằng cách 'tiết lộ', ý tôi là anh ta nói "Xin chào @ SlickWraps, anh ta không thể xác minh các rung động" trong các tweet (sao lưu) công khai, và sau đó đăng ảnh chụp màn hình các tin nhắn hỗ trợ lên khách hàng (dự phòng). Tôi không nghĩ đó là cách tiết lộ lỗ hổng hoạt động.
Tweet công khai khiến các tin tặc khác nhìn thấy lỗ hổng (bản sao lưu), có nghĩa là có nhiều bản sao của tất cả các cơ sở dữ liệu bị vi phạm. Nhiều khách hàng của Slickwraps đã nhận được email từ ít nhất một nhóm, trong đó sử dụng email liên hệ của chính Slickwraps để thông báo cho khách hàng rằng họ đã bị hack.
Bây giờ, đó là một sự thay đổi lớn từ @ SlickWraps pic.twitter.com/28SOEMIBZ9
– Toneman (@Toneman) ngày 21 tháng 2 năm 2020
Đừng lại gần pic.twitter.com/A1udbHwwZ0
– Cesar Torres (@ towerz650) ngày 21 tháng 2 năm 2020
Thật không @ SlickWraps pic.twitter.com/pkfhUlFZUB
– Gillerz (@mattgillerz) ngày 21 tháng 2 năm 2020
@ SlickWraps Tôi đã đặt hàng 4 Nhiều năm trước và tôi nhận được một email nói rằng dữ liệu của tôi đã bị xâm phạm, bao gồm địa chỉ email, địa chỉ trước đây và số điện thoại của tôi.
Hãy trả lời!
– David (@dpfjobs) ngày 21 tháng 2 năm 2020
Có vẻ như không có báo cáo về việc sử dụng độc hại cơ sở dữ liệu Slickwraps, nhưng luôn rất khó để nói thích Thông tin thanh toán của bạn bị hack khi mua hàng ngẫu nhiên xuất hiện trên hóa đơn của bạn. Không rõ liệu tin tặc có thể truy cập thông tin thanh toán chi tiết hay không: bài đăng trên blog ban đầu chỉ đề cập rằng "Thông tin API cho Thanh toán PayPal Pro" đã có sẵn, nhưng điều đó có nghĩa là ai đó có ý định độc hại có thể đào thêm và tìm thấy dữ liệu đó
Tại thời điểm xuất bản, cơ sở dữ liệu chưa được tải lên Have I Been Pwned, một trang web nơi mọi người có thể xác minh xem họ có bị ảnh hưởng bởi vi phạm cơ sở dữ liệu hay không. Slickwraps chưa công bố bất kỳ phản hồi chính thức nào trên bất kỳ kênh truyền thông xã hội nào. Chúng tôi đã liên hệ với công ty để nhận được một tuyên bố và chúng tôi sẽ cập nhật ấn phẩm này nếu chúng tôi nghe được từ bạn.
Slickwraps đã gửi email cho khách hàng giải thích rằng lỗ hổng này không lọc "mật khẩu hoặc dữ liệu tài chính cá nhân", mà bao gồm tên, email, địa chỉ giao hàng và dữ liệu khác. Đây là thông điệp đầy đủ:
Slickwraps người dùng,
Không có gì chúng tôi đánh giá cao hơn sự tin tưởng của người dùng của chúng tôi. Trên thực tế, toàn bộ mô hình kinh doanh của chúng tôi dựa trên việc xây dựng niềm tin lâu dài với những khách hàng tiếp tục quay lại.
Chúng tôi liên lạc với bạn vì chúng tôi đã phạm sai lầm khi vi phạm sự tin tưởng đó. Vào ngày 22 tháng 2, chúng tôi đã tìm thấy thông tin trong một số cơ sở dữ liệu phi sản xuất của chúng tôi được xuất bản sai thông qua trang trại. Trong thời gian này, các bên trái phép truy cập cơ sở dữ liệu.
Thông tin không chứa mật khẩu hoặc dữ liệu tài chính cá nhân.
Trên thực tế, thông tin đó chứa tên, địa chỉ email, địa chỉ của người dùng. Nếu bạn từng đánh dấu nó là "HƯỚNG DẪN", không có thông tin nào của bạn bao gồm.
Nếu bạn là người dùng với chúng tôi trước khi bảo mật thông tin này vào ngày 22 tháng 2, chúng tôi rất tiếc phải viết email này như một thông báo rằng một số thông tin của bạn được bao gồm trong cơ sở dữ liệu này. Nếu bạn nhận được email này và tham gia với chúng tôi sau ngày 22 tháng 2, chúng tôi sẽ viết nó bởi vì bạn đang sử dụng sản phẩm của chúng tôi và thật phù hợp để biết cách xử lý dữ liệu của bạn.
Sau khi biết dữ liệu của người dùng công cộng, chúng tôi thực hiện các biện pháp ngay lập tức để bảo vệ họ bằng cách đóng tất cả các cơ sở dữ liệu được đề cập.
Là một biện pháp bảo mật bổ sung, chúng tôi khuyên bạn nên đặt lại mật khẩu tài khoản Slickwraps của mình. Một lần nữa, mật khẩu không bị xâm phạm, nhưng chúng tôi khuyên đây là biện pháp bảo mật tiêu chuẩn. Cuối cùng, xem xét tất cả các nỗ lực lừa đảo.
Chúng tôi rất xin lỗi vì sự giám sát này. Chúng tôi hứa sẽ học hỏi từ lỗi này và chúng tôi sẽ cải thiện trong tương lai. Điều này sẽ bao gồm cải thiện quy trình bảo mật của chúng tôi, cải thiện các nguyên tắc bảo mật liên lạc cho tất cả nhân viên của Slickwraps và tạo thêm các tính năng bảo mật được người dùng yêu cầu ưu tiên hàng đầu của chúng tôi trong những tháng tới. Chúng tôi cũng hợp tác với các công ty an ninh mạng của bên thứ ba để kiểm toán và cải thiện các giao thức bảo mật của chúng tôi.
Thông tin chi tiết sẽ làm theo và chúng tôi cảm ơn sự kiên nhẫn của bạn trong quá trình này.
Trân trọng
Jonathan Endicott
CEO @ Slickwraps
Tuyên bố cho biết Slickwraps đã nhận ra lỗ hổng vào "ngày 22 tháng 2", mặc dù công ty có trụ sở tại Hoa Kỳ, hiện là 21. Không rõ đó là lỗi chính tả hay thông điệp Nó được viết bởi một người nào đó trên Slickwraps, người làm việc ở múi giờ khác.
Nếu bạn không chắc chắn liệu nó có bị ảnh hưởng hay không, cơ sở dữ liệu đã được tải lên Have I Been Pwned, vì vậy bạn có thể nhập địa chỉ email của mình trên trang để xác minh. Dịch vụ cho biết vi phạm đã ảnh hưởng đến hơn 857.000 tài khoản.
Ngoài ra, nhiều tin nhắn tiết lộ được gửi bởi tin tặc sử dụng các nhóm (được bảo vệ bởi email) đã xuất hiện trong hộp thư rác, vì vậy hãy kiểm tra thư rác của bạn.
