被黑客入侵的网站,数据库和公司如今已不是什么新鲜事物,但由于其影响范围广,疏忽大意或公开宣传,一些网站成为头条新闻。几乎所有皮肤制造商Slickwraps的客户数据事件都具有所有这些要素,至少取决于您信任哪一方。该公司拥有被黑客入侵的权利,但仅针对相对较少的客户详细信息,并且仅在过去三天之内,而披露此事的安全研究人员则声称并非如此。不幸的是,双方都应为加剧本已不幸的事件负责。
上周五,一个名叫Lynx0x00的人将自己定位为网络安全分析师,他在博客上详述了他的不利经历,“报告”了Slickwraps服务器上的一个相当严重且易于利用的漏洞。Lynx0x00的Medium和Twitter帐户神秘地消失了,但是幸运的是,互联网从未真正忘记。那和足够多的眼睛已经看到并屏蔽了后代的帖子。
该安全研究人员详细介绍了他如何访问Slickwraps服务器,如何获得对各种服务的管理员访问权限以及如何窃取客户数据,包括电子邮件和送货地址以及客户账单信息。自从2月16日他首次试图引起他们的关注以来,他还继续叙述了他实际上是如何被公司忽略甚至被公司封锁的,这迫使他只发表自己的发现。毫不奇怪,其他黑客团体利用该信息对其进行了成功测试。
直到星期六,Slickwraps才会发表公开声明,并通过电子邮件向客户发送有关此事件的信息。它声称它仅在2月21日发现了此事件,并立即限制了对暴露的非生产服务器的访问。它还声称该漏洞仅暴露了客户名称,用户名和电子邮件地址,但是从上述黑客组织收到的客户电子邮件似乎证明是相反的。
由于缺乏及时和诚实的披露,因此很难确定应该相信事件的哪个版本。公司轻描淡写这样的事件,甚至撒谎以逃避现实或逃避诉讼的情况并不少见。另一方面,Lynx0x00的披露方法和其帐户的突然失踪也不能完全说明安全研究人员的话。