Slickwraps ، که باعث ایجاد پوسته های وینیل برای تلفن ها ، تبلت ها و سایر لوازم الکترونیکی می شود ، هفته گذشته اعلام کرد که دچار نقض اطلاعات شده است. این اطلاعیه پس از آن منتشر شد که بسیاری از مشتریان ایمیل از Slickwraps را دریافت کردند که به نظر می رسد توسط یک هکر ارسال شده است که ادعا می کند داده های مشتری را دزدیده است.
آنچه در این مورد غیر معمول است این است که چگونه هکر ظاهراً سیستم های Slickwraps را نقض می کند: نه با کشف آسیب پذیری به تنهایی ، بلکه با خواندن یک پست متوسط حذف شده از هکر ناشناس ناشناس. نکته قابل قبول این است که Slickwraps ممکن است از لحاظ امنیتی کاملاً بد باشد ، و در صورت پاسخ دادن به هرگونه نگرانی که مورد توجه او قرار گرفته است ، نقض هایی مانند این و پا صاف را باز گذاشته است.
Slickwraps در پست وبلاگ خود گفت که داده های مشتری در برخی از پایگاه های داده غیر تولید شرکت "به اشتباه توسط یک بهره برداری عمومی منتشر شده است" و این پایگاه های داده "توسط یک طرف غیر مجاز دسترسی پیدا کرده اند". Slickwraps می گوید ، اطلاعات دستیابی شامل نام ، ایمیل و آدرس بودند ، اما شامل گذرواژهها یا دادههای مالی شخصی نیست. اگر تاکنون به عنوان مهمان از سیستم خارج شوید ، مطابق Slickwraps هیچ یک از اطلاعات شخصی شما به خطر نیفتد.
این شرکت به کاربران توصیه می کند رمزهای خود را برای حساب Slickwraps تغییر دهند. همچنین می گوید پیشرفت های امنیتی پیشرفت خواهد کرد:
این شامل پیشرفت فرآیندهای امنیتی ما ، بهبود ارتباط دستورالعمل های امنیتی به همه کارمندان Slickwraps ، و ایجاد بیشتر امنیت امنیتی درخواست شده توسط کاربر از اولویت های اصلی ما در ماه های آینده است. ما همچنین با یک شرکت امنیت سایبری شخص ثالث برای ممیزی و بهبود پروتکل های امنیتی ما همکاری می کنیم.
دیروز ، مدیر عامل شرکت Slickwraps یک ویدئوی عذرخواهی عذرخواهی را در توییتر ارسال کرد ، جایی که وی گفت این شرکت قبلاً کار را آغاز کرده است. در وب سایت جدید با صفحه شخصی سازی مورد جدید تلفن که قرار است در سال جاری راه اندازی شود.
پست وبلاگ Slickwraps همچنین اشاره می کند که یک "مهاجم" روز جمعه به مشتریان ارسال کرده است – به نظر می رسد این ایمیل هک شده از سلام @ slickwraps. کام برخی از کاربران توییتر ایمیل هک شده را به اشتراک گذاشتند ، که ظاهراً در پرونده های شرکت به 377428 آدرس ایمیل فرستاده شده است.
شخصی که این ایمیل را ارسال کرده است ، گفت که آنها با خواندن یک یادگیری نحوه دسترسی به داده های Slickwraps را ارسال کرده اند. پست متوسط (شخصی که در اینجا بایگانی شده است) توسط شخصی که توسط نام مستعار Lynx0x00 در Medium و در حساب اکانت توییتر غیر موجود آنها حذف شده است حذف شد. Lynx0x00 که شرح حال توییتر خود را در ژانویه خوانده بود ، "محقق امنیتی ، هات هکر هکر ، نه تبر" ، ادعا کرد که صفحه شخصی سازی مورد تلفن Slickwraps دارای یک آسیب پذیری است که به شخصی امکان می دهد "هر پرونده ای را در هر مکانی که بالاترین دایرکتوری روی سرور خود دارد بارگذاری کند. " Lynx0x00 گفت که آنها از این آسیب پذیری برای دسترسی استفاده می کنند:
- رزومه کارکنان SlickWraps فعلی و گذشته
- 9 گیگابایت عکس مشتری که در ابزار شخصی سازی پرونده بارگذاری شده است
- کلیه جزئیات حساب کاربری SlickWraps ، از جمله هشدارهای رمز عبور
- کلیه موارد فعلی و آدرس های پرداخت صورتحساب مشتری SlickWraps تاریخی
- کلیه آدرس های حمل و نقل مشتری SlickWraps فعلی و تاریخی
- کلیه آدرس های ایمیل فعلی و تاریخی SlickWraps SlickWraps
- کلیه شماره تلفن های فعلی و تاریخی SlickWraps SlickWraps
- تاریخچه معامله مشتری فعلی و تاریخی SlickWraps [19659017] سیستم مدیریت محتوای شرکت
Lynx0x00 در پست وبلاگ خود ادعا کرد که سعی دارند با برچسب زدن این شرکت در توییت های عمومی با ارسال Slickwraps تماس بگیرند و DM و ایمیل توییتر ارسال کنند تا از شرکت در مورد آسیب پذیری ها مطلع شوند.
این قسمت از داستان کمی عجیب می شود در یک لحظه ،Slickwraps Lynx0x00 را مسدود کرده بود ، اما در نهایتSlickwrapsHelp با Lynx0x00 از طریق توییتر DM تماس گرفت ، که منجر به مکالمه ای شد که در آن Lynx0x00 خواستار رفع انسداد شد:

تصویر: Lynx0x00
Lynx0x00 سپس به DSwM اگر Slickwraps خود این کار را نکرده است تهدید می کند با علنی مواجه شود:

تصویر: Lynx0x00
Slickwraps سپس ادعا کرد که این حساب توسط شخص ثالث اداره می شود:

تصویر: Lynx0x00
Lynx0x00 سپس از طریق ایمیل ارسال شد. مدیر عامل شرکت Slickwraps به وی گفت که DM های توییتر خود را بررسی کند. به نظر می رسد که Lynx0x00 با جستجوی سوابق شرکت از طریق آسیب پذیری های Slickwraps ، ایمیل مدیر عامل را پیدا کرد. پس از ارسال ایمیل ، Lynx0x00 توسطSlickwraps بار دیگر "در عرض سه دقیقه مسدود شد" مسدود شد.
در حال حاضر ، مشخص نیست چه کسی ایمیل های ارسال شده به مشتریان Slickwraps را ارسال کرده است و چه کسی Lynx0x00 است ، و همچنین اینکه آیا این دو به هر طریق وصل هستند یا خیر. Lynx0x00 در پست وبلاگ خود اعلام كرد كه "ممكن است آنها یگانه نباشند" در پایگاههای داده Slickwraps. The Verge به ایمیلی رسیده است که به نظر می رسد با Lynx0x00 همراه است تا از وی بخواهد نظر دهد.
Slickwraps در پست وبلاگ خود می گوید که بهره برداری تعمیر شده است ، که "تمام داده ها ایمن است". و اینکه در حال همکاری با "تیم امنیت سایبری شخص ثالث" برای تحلیل اوضاع است. این شرکت می گوید FBI همچنین تحقیقاتی را آغاز کرده است.
The Verge برای اظهار نظر به [email protected] رسید اما هنوز پاسخی دریافت نکرده اید. شماره تلفن در صفحه مخاطب مطبوعات این شرکت خارج از خدمات است و پیوند در آن صفحه برای ارسال پیوندهای ایمیل مطبوعاتی به یک آدرس ایمیل خالی است.