Slickwraps大規(guī)模數(shù)據(jù)泄露本可以避免

被黑客入侵的網(wǎng)站，數(shù)據(jù)庫和公司如今已不是什么新鮮事物，但由于其影響范圍廣，疏忽大意或公開宣傳，一些網(wǎng)站成為頭條新聞。幾乎所有皮膚制造商Slickwraps的客戶數(shù)據(jù)事件都具有所有這些要素，至少取決于您信任哪一方。該公司擁有被黑客入侵的權(quán)利，但僅針對(duì)相對(duì)較少的客戶詳細(xì)信息，并且僅在過去三天之內(nèi)，而披露此事的安全研究人員則聲稱并非如此。不幸的是，雙方都應(yīng)為加劇本已不幸的事件負(fù)責(zé)。

上周五，一個(gè)名叫Lynx0x00的人將自己定位為網(wǎng)絡(luò)安全分析師，他在博客上詳述了他的不利經(jīng)歷，“報(bào)告”了Slickwraps服務(wù)器上的一個(gè)相當(dāng)嚴(yán)重且易于利用的漏洞。Lynx0x00的Medium和Twitter帳戶神秘地消失了，但是幸運(yùn)的是，互聯(lián)網(wǎng)從未真正忘記。那和足夠多的眼睛已經(jīng)看到并屏蔽了后代的帖子。

該安全研究人員詳細(xì)介紹了他如何訪問Slickwraps服務(wù)器，如何獲得對(duì)各種服務(wù)的管理員訪問權(quán)限以及如何竊取客戶數(shù)據(jù)，包括電子郵件和送貨地址以及客戶賬單信息。自從2月16日他首次試圖引起他們的關(guān)注以來，他還繼續(xù)敘述了他實(shí)際上是如何被公司忽略甚至被公司封鎖的，這迫使他只發(fā)表自己的發(fā)現(xiàn)。毫不奇怪，其他黑客團(tuán)體利用該信息對(duì)其進(jìn)行了成功測(cè)試。

直到星期六，Slickwraps才會(huì)發(fā)表公開聲明，并通過電子郵件向客戶發(fā)送有關(guān)此事件的信息。它聲稱它僅在2月21日發(fā)現(xiàn)了此事件，并立即限制了對(duì)暴露的非生產(chǎn)服務(wù)器的訪問。它還聲稱該漏洞僅暴露了客戶名稱，用戶名和電子郵件地址，但是從上述黑客組織收到的客戶電子郵件似乎證明是相反的。

由于缺乏及時(shí)和誠實(shí)的披露，因此很難確定應(yīng)該相信事件的哪個(gè)版本。公司輕描淡寫這樣的事件，甚至撒謊以逃避現(xiàn)實(shí)或逃避訴訟的情況并不少見。另一方面，Lynx0x00的披露方法和其帳戶的突然失蹤也不能完全說明安全研究人員的話。